Nume:TR/FakeAV.HM.1
Descoperit pe data de:06/08/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:2.078.208 Bytes
MD5:8ebc07e25eb95adc7236406937728d18
Versiune IVDF:7.10.10.99 - Freitag, 6. August 2010

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: FakeAlert-SysAV.a


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efecte secundare:
   • Creeaza fisiere malware
   • Raporteaza probleme de sistem sau infectii malware inexistente si se ofera sa le repare daca utilizatorul cumpara aplicatia.
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:



 Fisiere Se copiaza in urmatoarea locatie:
   • %PROGRAM FILES%\Sysinternals Antivirus\Sysinternals Antivirus.exe

– %HOME%\Desktop\Sysinternals Antivirus.lnk
– %PROGRAM FILES%\svchost.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Agent.25600.AA

– %PROGRAM FILES%\wp4.dat
– %PROGRAM FILES%\wp3.dat
– %PROGRAM FILES%\adc_w32.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/BHO.CK

– %PROGRAM FILES%\alggui.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Agent.42496.AA

– %TEMPDIR%\win1.tmp
– %PROGRAM FILES%\nuar.old
– %PROGRAM FILES%\scdata\dbsinit.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/FakeSC.A

 Registrii sistemului Inregistreaza un browser helper object (BHO) prin adaugarea urmatoarei chei in registri:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{149256D5-E103-4523-BB43-2CFB066839D6}]


Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Sysinternals Antivirus]
– [HKCU\Software\Sysinternals Antivirus\Sysinternals Antivirus]
– [HKCU\Software\Sysinternals Antivirus\Sysinternals Antivirus\
   setdata]
– [HKCR\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}]
   • "(Default)"="ADC PlugIn"

– [HKCR\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}\InprocServer32]
   • "(Default)"="%PROGRAM FILES%\adc_w32.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\exefile\shell\open\command]
   • "(Default)"="%PROGRAM FILES%\alggui.exe "%1" %*"

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • %PROGRAM FILES%\svchost.exe

   In cazul esecului operatiunii, malware-ul se inchide.
   In caz de succes, malware-ul afiseaza urmatoarele:


Die Beschreibung wurde erstellt von Patrick Schoenherr am Freitag, 6. August 2010
Die Beschreibung wurde geändert von Patrick Schoenherr am Freitag, 6. August 2010

zurück . . . .