Nume:TR/Fakealert.QE
Descoperit pe data de:16/10/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Nu
Versiune IVDF:7.00.07.46 - Donnerstag, 16. Oktober 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: AntiVirus2009
   •  Kaspersky: not-a-virus:FraudTool.Win32.XPSecurityCenter.az
   •  F-Secure: not-a-virus:FraudTool.Win32.XPSecurityCenter.az
   •  Panda: Adware/XPAntiSpyware2009
   •  Grisoft: Downloader.Small.ELY


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Descarca fisiere malware


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Sunt create fisierele:

– Fisiere inofensive:
   • %PROGRAM FILES%\XP_AntiSpyware\Uninstall.exe; %PROGRAM
      FILES%\XP_AntiSpyware\htmlayout.dll; %PROGRAM
      FILES%\XP_AntiSpyware\pthreadVC2.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\data\daily.cvd; %HOME%\Start
      Menu\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk;
      %HOME%\Desktop\XP_AntiSpyware.lnk; %HOME%\Start
      Menu\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk; %HOME%\Start
      Menu\Programs\XP_AntiSpyware\Uninstall.lnk

– Fisiere temporare care pot fi sterse dupa aceea:
   • %TEMPDIR%\prm2
   • %TEMPDIR%\prm3

– %PROGRAM FILES%\XP_AntiSpyware\AVEngn.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Fakealert.QF

– %TEMPDIR%\Binaries1.cab2
– %TEMPDIR%\Binaries2.cab3
– %TEMPDIR%\Binaries3.cab4



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://www.xpas2009.com/**********/Binaries1.cab
Fisierul este stocat pe hard disc la: %temporary internet files%\Content.IE5\%sir de 8 caractere aleatoare%\Binaries1[1].cab

– Adresa este urmatoarea:
   • http://www.xpas2009.com/**********/Binaries2.cab
Fisierul este stocat pe hard disc la: %temporary internet files%\Content.IE5\%sir de 8 caractere aleatoare%\Binaries2[1].cab

– Adresa este urmatoarea:
   • http://www.xpas2009.com/**********/Binaries3.cab
Fisierul este stocat pe hard disc la: %temporary internet files%\Content.IE5\%sir de 8 caractere aleatoare%\Binaries3[1].cab



Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %PROGRAM FILES%\XP_AntiSpyware\XP_AntiSpyware.exe
Fisierul contine cod malware. Detectat ca: TR/Drop.Delf.Crypt.G.24


– Numele fisierului:
   • %PROGRAM FILES%\XP_AntiSpyware\wscui.cpl
Fisierul contine cod malware. Detectat ca: TR/Fakealert.QE

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Andreas Feuerstein am Dienstag, 21. Oktober 2008
Die Beschreibung wurde geändert von Andreas Feuerstein am Dienstag, 21. Oktober 2008

zurück . . . .