Nume:TR/Fakealert.QE
Descoperit pe data de:16/10/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Nu
Versiune IVDF:7.00.07.46 - Thursday, October 16, 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: AntiVirus2009
   •  Kaspersky: not-a-virus:FraudTool.Win32.XPSecurityCenter.az
   •  F-Secure: not-a-virus:FraudTool.Win32.XPSecurityCenter.az
   •  Panda: Adware/XPAntiSpyware2009
   •  Grisoft: Downloader.Small.ELY


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Descarca fisiere malware


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Sunt create fisierele:

– Fisiere inofensive:
   • %PROGRAM FILES%\XP_AntiSpyware\Uninstall.exe; %PROGRAM
      FILES%\XP_AntiSpyware\htmlayout.dll; %PROGRAM
      FILES%\XP_AntiSpyware\pthreadVC2.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\data\daily.cvd; %HOME%\Start
      Menu\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk;
      %HOME%\Desktop\XP_AntiSpyware.lnk; %HOME%\Start
      Menu\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk; %HOME%\Start
      Menu\Programs\XP_AntiSpyware\Uninstall.lnk

– Fisiere temporare care pot fi sterse dupa aceea:
   • %TEMPDIR%\prm2
   • %TEMPDIR%\prm3

– %PROGRAM FILES%\XP_AntiSpyware\AVEngn.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Fakealert.QF

– %TEMPDIR%\Binaries1.cab2
– %TEMPDIR%\Binaries2.cab3
– %TEMPDIR%\Binaries3.cab4



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://www.xpas2009.com/**********/Binaries1.cab
Fisierul este stocat pe hard disc la: %temporary internet files%\Content.IE5\%sir de 8 caractere aleatoare%\Binaries1[1].cab

– Adresa este urmatoarea:
   • http://www.xpas2009.com/**********/Binaries2.cab
Fisierul este stocat pe hard disc la: %temporary internet files%\Content.IE5\%sir de 8 caractere aleatoare%\Binaries2[1].cab

– Adresa este urmatoarea:
   • http://www.xpas2009.com/**********/Binaries3.cab
Fisierul este stocat pe hard disc la: %temporary internet files%\Content.IE5\%sir de 8 caractere aleatoare%\Binaries3[1].cab



Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %PROGRAM FILES%\XP_AntiSpyware\XP_AntiSpyware.exe
Fisierul contine cod malware. Detectat ca: TR/Drop.Delf.Crypt.G.24


– Numele fisierului:
   • %PROGRAM FILES%\XP_AntiSpyware\wscui.cpl
Fisierul contine cod malware. Detectat ca: TR/Fakealert.QE

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andreas Feuerstein on Tuesday, October 21, 2008
Description updated by Andreas Feuerstein on Tuesday, October 21, 2008

Back . . . .