Nume:TR/FakeScanner.ziu
Descoperit pe data de:12/11/2008
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:899.024 Bytes
MD5:958feedf34cba174a85f4f58bb65955a
Versiune VDF:7.01.00.70
Versiune IVDF:7.01.00.77 - giovedì 13 novembre 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Eset: Win32/Genetik
   •  Bitdefender: Trojan.Generic.969530


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarea locatie:
   • %PROGRAM FILES%\PCPrivacyCleaner\pcpc.exe



Creeaza urmatorul director:
   • %PROGRAM FILES%\PCPrivacyCleaner



Sunt create fisierele:

%directorul de activare malware%\PCPrivacyCleaner.lnk
– %ALLUSERSPROFILE%\Start Menu\Programs\PCPrivacyCleaner\PCPrivacyCleaner.lnk
– %ALLUSERSPROFILE%\Start Menu\Programs\PCPrivacyCleaner\Uninstall PCPrivacyCleaner.lnk
– %home%\Application Data\Microsoft\Internet Explorer\Quick Launch\PCPrivacyCleaner.lnk
– %home%\Application Data\PCPrivacyCleaner\Logs\scns.txt



Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://www.instlog.pcprivacycleaner.com/**********
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • PCPrivacyCleaner="%PROGRAM FILES%\PCPrivacyCleaner\pcpc.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\PCPrivacyCleaner]
   • "LicenseAccepted"=hex:01
   • "InstallDate"=%valori hex%
   • "ActivationCode"=%valori hex%
   • "Version"=%valori hex%
   • "LastScanTime"=%valori hex%
   • "TotalScanCount"=%valori hex%

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\
   PCPrivacyCleaner]
   • DisplayName="PCPrivacyCleaner"
   • UninstallString=""%PROGRAM FILES%\PCPrivacyCleaner\pcpc.exe" -uninstall"
   • NoModify=dword:00000001

– [HKLM\Software\{65DE966D-11D1-4bb1-BF7E-B8A273514DAF}]
   • Version=hex:33,50,5f,55,50,43,50,43,53,45

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • PCPrivacyCleaner%valori hex%-%valori hex%-%valori hex%-%valori hex%-%valori hex%

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • AS Pack

Descrizione inserita da Monica Ghitun su martedì 16 dicembre 2008
Descrizione aggiornata da Monica Ghitun su martedì 16 dicembre 2008

Indietro . . . .