Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:TR/FakeSysdef.A.863
Descoperit pe data de:24/05/2011
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:334.848 Bytes
MD5:2363D1D5B33994F17131646D929B0E50
Versiune VDF:7.11.08.126 - marți, 24 mai 2011
Versiune IVDF:7.11.08.126 - marți, 24 mai 2011

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  TrendMicro: TROJ_FAKEAV.SM29
   •  Sophos: Mal/FakeAV-EA
     Microsoft: Trojan:Win32/FakeSysdef


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efecte secundare:
   • Creeaza fisiere
    Raporteaza probleme de sistem sau infectii malware inexistente si se ofera sa le repare daca utilizatorul cumpara aplicatia.
   • Reduce setarile de securitate
   • Modificari in registri
   • Pacaleste utilizatorul sa se aboneze la un serviciu costisitor


Imediat dupa lansarea in executie, pe ecran este afisat:





 Fisiere Se copiaza in urmatoarea locatie:
   • %ALLUSERSPROFILE%\Application Data\%combinatie de caractere aleatoare%.exe



Redenumeste urmatoarele fisiere:

      %ALLUSERSPROFILE%\Start Menu\%toate subdirectoarele% n %TEMPDIR%\smtmp\1\*
      %APPDATA%\Microsoft\Internet Explorer\Quick Launch\* n %TEMPDIR%\smtmp\2\*



Sterge copia initiala a virusului.



Este creat fisierul:

%ALLUSERSPROFILE%\Application Data\%numar%.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/FakeSysdef.A.1023

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%combinatie de caractere aleatoare%"="%ALLUSERSPROFILE%\Application Data\%combinatie de caractere aleatoare%.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

[HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableTaskMgr"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "DisableTaskMgr"=dword:0000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "ShowSuperHidden"=dword:00000000
   • "Hidden"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallPaper"=dword:00000001

[HKCU\Software]
   • "75fa38b7-8b94-4995-ad32-52e938867954"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoDesktop"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallPaper"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"="/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:"

 Alte informatii Acceseaza resurse de pe internet:
   • **********p://findconsonant.org/pica1/516-direct
   • **********p://searchafternoon.org/404.php?type=stats&affid=516&subid=02&awok
   • **********p://searchbottle.org/pica1/516-direct


Mutex:
Creeaza urmatorul mutex:
   • 86e8a495-357c-437c-b6e9-13e757bfabab

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description inserted by Andrei Ilie on Thursday, August 25, 2011
Description updated by Andrei Ilie on Friday, August 26, 2011

Back . . . .