Vollständige Virenbeschreibung

Name:	TR/FakeAV.fmi
Entdeckt am:	30/07/2010
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	2.752.512 Bytes
MD5 Prüfsumme:	99e2e3c8c2aeb5fe8a572d5a0B45571f
IVDF Version:	7.10.09.88 - Mittwoch, 14. Juli 2010

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Trojan.FakeAV!gen32
   • Kaspersky: Packed.Win32.Katusha.o
   • Sophos: Mal/FakeAV-BW
   • Microsoft: Trojan:Win32/FakeVimes
   • Panda: Adware/SecurityMasterAV
   • PCTools: Trojan.FakeAV
   • Eset: Win32/Kryptik.FMZ
   • AhnLab: Win-Trojan/Fakeav.2752512

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7
   • Erstellt Dateien
   • Erstellt schädliche Dateien

Nach Aktivierung wird folgende Information angezeigt:

Dateien Kopien seiner selbst werden hier erzeugt:
   • c:\%aktuelles Verzeichnis%\SecurityMasterAV.bin
   • %ALLUSERSPROFILE%\Application Data\%zufällig ausgewähltes Verzeichnis%\%zufällige Buchstabenkombination%.exe

Die folgende Datei wird geändert:
   • %WINDIR%\systems32\drivers\etc\hosts

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– %HOME%\Recent\%zufällige Buchstabenkombination%.dll
– %HOME%\Recent\%zufällige Buchstabenkombination%.drv
– %HOME%\Recent\%zufällige Buchstabenkombination%.tmp
– %ALLUSERSPROFILE%\Application Data\%zufällig ausgewähltes Verzeichnis%\SMAV.ico
– %APPDATA%\Security Master AV\Instructions.ini
– %APPDATA%\Security Master AV\winupdate.exe
– C:\%aktuelles Verzeichnis%\%zufällige Buchstabenkombination%.mof
– C:\%aktuelles Verzeichnis%\SMAVSys\%zufällige Buchstabenkombination%.bd
– %ALLUSERSPROFILE%\Application Data\%zufällig ausgewähltes Verzeichnis%\%zufällige Buchstabenkombination%.cfg

Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Security Master AV"="\"%ALLUSERSPROFILE%\Application Data\%zufällig ausgewähltes Verzeichnis%\%zufällige Buchstabenkombination%.exe\" /s /d"

Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Internet Explorer]
   • "IIL"=dword:00000000
   • "ltHI"=dword:00000000
   • "ltTST"=dword:00008e02

– [HKCU\Software\Microsoft\Internet Explorer\BrowserEmulation]
   • "MSCompatibilityMode"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\a.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\aAvgApi.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\AAWTray.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\adaware.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avmailc.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\belt.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\cfinet.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\dcomx.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ent.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\fch32.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\fullsoft.dll]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\hbinst.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\htmlmm.ocx]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\icmon.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\keenvalue.exe]
   • "Debugger"="svchost.exe"

– [HKCU\Software\3]
– [HKCR\SecurityMasterAV.DocHostUIHandler\Clsid]
   • @="{3F2BBC05-40DF-11D2-9455-00104BC936FF}"

– [HKCR\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}]
   • @="Implements DocHostUIHandler"

– [HKCR\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\LocalServer32]
   • @="c:\\xxx\\SecurityMasterAV.exe"

– [HKCR\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\ProgID]
   • @="SecurityMasterAV.DocHostUIHandler"

– [HKCR\SecurityMasterAV.DocHostUIHandler]
   • @="Implements DocHostUIHandler"

– [HKCU\Software\Microsoft\Internet Explorer\SearchScopes]
   • "URL"="http://findgala.com/?&uid=2129&q={searchTerms}"

Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Alter Wert:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   Neuer Wert:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall bleiben bestehende Einträge erhalten.

– Zugriffe auf folgende Domains werden auf andere Ziele umgeleitet:
   • 74.125.45.100 4-open-davinci.com
   • 74.125.45.100 securitysoftwarepayments.com
   • 74.125.45.100 privatesecuredpayments.com
   • 74.125.45.100 secure.privatesecuredpayments.com
   • 74.125.45.100 getantivirusplusnow.com
   • 74.125.45.100 secure-plus-payments.com
   • 74.125.45.100 www.getantivirusplusnow.com
   • 74.125.45.100 www.secure-plus-payments.com
   • 74.125.45.100 www.getavplusnow.com
   • 74.125.45.100 safebrowsing-cache.google.com
   • 74.125.45.100 urs.microsoft.com
   • 74.125.45.100 www.securesoftwarebill.com
   • 74.125.45.100 secure.paysecuresystem.com
   • 74.125.45.100 paysoftbillsolution.com
   • 74.125.45.100 protected.maxisoftwaremart.com

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Freitag, 6. August 2010
Die Beschreibung wurde geändert von Carlos Valero Llabata am Freitag, 6. August 2010

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools