Description complète

Nom:	TR/FakeAV.fmi
La date de la découverte:	30/07/2010
Type:	Cheval de Troie
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible a moyen
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	2.752.512 Octets
Somme de contrôle MD5:	99e2e3c8c2aeb5fe8a572d5a0B45571f
Version IVDF:	7.10.09.88 - mercredi 14 juillet 2010

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Symantec: Trojan.FakeAV!gen32
   • Kaspersky: Packed.Win32.Katusha.o
   • Sophos: Mal/FakeAV-BW
   • Microsoft: Trojan:Win32/FakeVimes
   • Panda: Adware/SecurityMasterAV
   • PCTools: Trojan.FakeAV
   • Eset: Win32/Kryptik.FMZ
   • AhnLab: Win-Trojan/Fakeav.2752512

Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7
   • Il crée des fichiers
   • Il crée des fichiers malveillants

Immédiatement après l'exécution l'information suivante est affichée:

Fichiers Il s'autocopie dans les emplacements suivants:
   • c:\%repertoire actuel%\SecurityMasterAV.bin
   • %ALLUSERSPROFILE%\Application Data\%répertoire choisi de façon aléatoire%\%chaîne de caractères aléatoire%.exe

Le fichier suivant est modifié :
   • %WINDIR%\systems32\drivers\etc\hosts

Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– %HOME%\Recent\%chaîne de caractères aléatoire%.dll
– %HOME%\Recent\%chaîne de caractères aléatoire%.drv
– %HOME%\Recent\%chaîne de caractères aléatoire%.tmp
– %ALLUSERSPROFILE%\Application Data\%répertoire choisi de façon aléatoire%\SMAV.ico
– %APPDATA%\Security Master AV\Instructions.ini
– %APPDATA%\Security Master AV\winupdate.exe
– C:\%repertoire actuel%\%chaîne de caractères aléatoire%.mof
– C:\%repertoire actuel%\SMAVSys\%chaîne de caractères aléatoire%.bd
– %ALLUSERSPROFILE%\Application Data\%répertoire choisi de façon aléatoire%\%chaîne de caractères aléatoire%.cfg

Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Security Master AV"="\"%ALLUSERSPROFILE%\Application Data\%répertoire choisi de façon aléatoire%\%chaîne de caractères aléatoire%.exe\" /s /d"

Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Internet Explorer]
   • "IIL"=dword:00000000
   • "ltHI"=dword:00000000
   • "ltTST"=dword:00008e02

– [HKCU\Software\Microsoft\Internet Explorer\BrowserEmulation]
   • "MSCompatibilityMode"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\a.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\aAvgApi.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\AAWTray.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\adaware.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avmailc.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\belt.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\cfinet.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\dcomx.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ent.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\fch32.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\fullsoft.dll]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\hbinst.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\htmlmm.ocx]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\icmon.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\keenvalue.exe]
   • "Debugger"="svchost.exe"

– [HKCU\Software\3]
– [HKCR\SecurityMasterAV.DocHostUIHandler\Clsid]
   • @="{3F2BBC05-40DF-11D2-9455-00104BC936FF}"

– [HKCR\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}]
   • @="Implements DocHostUIHandler"

– [HKCR\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\LocalServer32]
   • @="c:\\xxx\\SecurityMasterAV.exe"

– [HKCR\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\ProgID]
   • @="SecurityMasterAV.DocHostUIHandler"

– [HKCR\SecurityMasterAV.DocHostUIHandler]
   • @="Implements DocHostUIHandler"

– [HKCU\Software\Microsoft\Internet Explorer\SearchScopes]
   • "URL"="http://findgala.com/?&uid=2129&q={searchTerms}"

Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Internet Explorer\Download]
   L'ancienne valeur:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   La nouvelle valeur:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées déjà existantes ne sont pas modifiées.

– L'accès aux liens URL suivants est redirigé vers d'autres destinations :
   • 74.125.45.100 4-open-davinci.com
   • 74.125.45.100 securitysoftwarepayments.com
   • 74.125.45.100 privatesecuredpayments.com
   • 74.125.45.100 secure.privatesecuredpayments.com
   • 74.125.45.100 getantivirusplusnow.com
   • 74.125.45.100 secure-plus-payments.com
   • 74.125.45.100 www.getantivirusplusnow.com
   • 74.125.45.100 www.secure-plus-payments.com
   • 74.125.45.100 www.getavplusnow.com
   • 74.125.45.100 safebrowsing-cache.google.com
   • 74.125.45.100 urs.microsoft.com
   • 74.125.45.100 www.securesoftwarebill.com
   • 74.125.45.100 secure.paysecuresystem.com
   • 74.125.45.100 paysoftbillsolution.com
   • 74.125.45.100 protected.maxisoftwaremart.com

Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Carlos Valero Llabata le vendredi 6 août 2010
Description mise à jour par Carlos Valero Llabata le vendredi 6 août 2010

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils