Nume:TR/Fakealert.HC
Descoperit pe data de:16/10/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:44.032 Bytes
MD5:9d40e58d4b91df1fdf7afd3b05dba6d6
Versiune IVDF:7.00.07.47 - jeudi 16 octobre 2008

 General Metoda de raspandire:
   • Email


Alias:
   •  Symantec: Trojan.Virantix.C
   •  Kaspersky: Backdoor.Win32.UltimateDefender.tt
   •  F-Secure: Trojan-Downloader:W32/FakeAlert.BG
   •  Sophos: Troj/FakeVir-GL
   •  Panda: Adware/XPAntiSpyware2009
   •  Grisoft: Downloader.Zlob.AEVS
   •  VirusBuster: Trojan.Renos.AUI
   •  Eset: Win32/TrojanDownloader.FakeAlert.MN trojan
   •  Bitdefender: Packer.Malware.Lighty.I


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Sunt create fisierele:

– %SYSDIR%\brastk.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.FraudLo.bai

– %SYSDIR%\dllcache\figaro.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Rootkit.Gen

– %SYSDIR%\dllcache\beep.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Rootkit.Gen

– %SYSDIR%\drivers\beep.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Rootkit.Gen

– %WINDIR%\delself.bat Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"



Se adauga in registrii sistemului:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • PendingFileRenameOperations=%valori hex%

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Subiect:
Urmatorul:
   • New anjelina jolie sex scandal



Corpul email-ului:
Corpul email-ului este:
   • anjelina jolie porn video, file attached, watch it


Atasament:
Numele fisierului atasat este urmatorul:
   • angelina_video.zip

Atasamentul este o arhiva ce contine chiar o copie malware.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Thomas Wegele le mercredi 22 octobre 2008
Description mise à jour par Thomas Wegele le mercredi 22 octobre 2008

Retour . . . .