Registry Optimizer de Aido

Un nuevo rogue, es decir, un nuevo software falso y camuflado como optimizador del registro de Windows. El Registry Optimizer de Aido es un software malicioso y muy peligroso, camuflado y que se propaga mediante el gusano Harakit.D

El Rogue Registry Optimizer de Aido se basa en el gusano Harakit.D, que tras ser ejecutado se descarga una actualización sin contar con la intermediación del equipo infectado. Este gusano realiza una serie de modificaciones sobre el registro de Windows, que hace que se ejecute en cada reinicio del sistema y cuando se abre el navegador de internet, además de, obviamente, propagarse a otros equipos.

Registry Optimizer de Aido

Registry Optimizer de Aido

Con una gran interfaz de usuario, donde hasta se puede ver un contrato de licencia (CLU) y una serie de premios que “ha recibido” el falso software, el Rogue Registry Optimizer de Aido que hacen que el usuario mas confiado “pique” y permita que el software se aloje en su equipo.

Como se propaga

Se propaga como casi todos los software maliciosos, o bien por unidades de red compartidas o por medio de dispositivos USB, haciendo una copia de si mismo en el directorio raíz del dispositivo, creando un fichero autorun.inf para reproducirse automáticamente en cuanto se enchufe el dispositivo.

Que es Registry Optimizer de Aido

Por su parte, Registry Optimizer es un nuevo ejemplar de los cada vez más comunes falsos antivirus. Recomendamos, una vez mas, que cada vez que se descargue algún antivirus se contraste la fuente con la lista de fabricantes de antivirus verdaderos, para evitar, en la medida de lo posible, errores en la descarga y que, en caso de ser un “antivirus de pago” (que existen) el creador del malware es capaz de robar los datos bancarios o tarjetas de crédito de los usuarios a la hora de realizar la transacción económica.

Registry Optimizer de Aido

Registry Optimizer de Aido

En la imagen podeis ver que el Registry Optimizer, una vez instalado, lanza un supuesto análisis del PC, para mostrar una serie de amenazas (todas falsas, como no), crear un icono en el escritorio y abrirse cada vez que el ordenador se  reinicia, dando opción al usuario a registrar el producto a cambio del pago de la licencia, con lo que consigue, además, los datos bancarios como hemos dicho antes.

Como saber si se está infectado con el Registry Optimizer de Aido. ¿Como saber si tienes el Registry Optimizer?

En caso de que aparezcan en tu ordenador los siguientes ficheros:

  • %Archivos de Programa%\Adio Registry Optimizer\DIORO.exe
  • %Archivos de Programa%\Adio Registry Optimizer\UNINST.EXE

Y en el registro de Windows las siguientes claves

  • Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Valor: Adio Registry Optimizer = C:\Archivos de programa\Adio Registry Optimizer\adioro.exe /s
    Mediante esta entrada, RegistryOptimizer consigue ejecutarse cada vez que Windows se inicia.
  • Clave: : HKEY_CURRENT_USER\Software\Adio Registry Optimizer\adioro\UI
    Valor: Valor: Last Scan = %fecha y hora%
  • Clave: HKEY_CURRENT_USER\Software\Adio Registry Optimizer\adioro\UI
    Valor: Last Scan Result = 4E, 00, 00, 00
  • Clave: HKEY_CURRENT_USER\Software\Adio Registry Optimizer\adioro\UI
    Valor: Selected Modules = 01, 01, 01, 01, 01, 01, 01, 01, 01, 01, 01, 01, 01
  • Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Adio Registry Optimizer
    aid = 5
  • Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Adio Registry Optimizer
    Installdate =
    %fecha y hora%
  • Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ App Paths\ adioro.exe
    (Default) = C:\Archivos de programa\Adio Registry Optimizer\adioro.exe
  • Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
    Valor: DisplayIcon = C:\Archivos de programa\Adio Registry Optimizer\adioro.exe
  • Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
    Valor: DisplayName = Adio Registry Optimizer 1.5
  • Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
    Valor: DisplayVersion = 1.5
  • Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
    Valor: NSIS:StartMenuDir = Adio Registry Optimizer
  • Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
    Valor: Publisher = AdioSoft Inc
  • Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
    Valor: UninstallString = C:\Archivos de programa\Adio Registry Optimizer\uninst.exe
  • Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
    Valor: URLInfoAbout = hxxp://www.adioro.com

Como eliminar y quitar el Registry Optimizer de Aido

Para eliminar el Registry Optimizer de Aido intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema, para quitar el Registry Optimizer de Aido pruebe lo siguiente:

  1. Desactivar temporalmente la Restauración del Sistema.
  2. Reiniciar el ordenador a Modo a Prueba de Fallos.
  3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
  4. Elimine los archivos explicados en ¿Como saber si está infectado?
  5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
  6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
  7. Eliminar archivos temporales
  8. Reiniciar el ordenador

Como se propaga el Registry Optimizer de Aido

La propagación habitual de este tipo de aplicaciones fraudulentas se realiza a través de las redes para compartir archivos y los usuarios suelen descargarlos involuntariamente al estar bajo otro nombre o junto a contenidos deseados. Otra manera por la que puede propagarse es mediante páginas que anuncian las bondades del programa y permiten que el usuario lo descargue voluntariamente, pensando que es una muestra gratuita o de prueba y que va a resolver sus necesidades. En el caso de este programa fraudulento, la página mostraba incluso premios “otorgados” para mostrarse más creíble.

Fuente: Enciclopedia de Panda Security +

Deje un comentario