Descrizione completa

Nome del virus:	TR/FakeAV.HM
Scoperto:	06/08/2010
Tipo:	Trojan
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio-Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	878.592 Byte
Somma di controllo MD5:	b755deedb98872d8e255ae46d7f70289
Versione IVDF:	7.10.10.99 - venerdì 6 agosto 2010

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Avast: Win32:Genome-IO
   • Microsoft: Trojan:Win32/FakeScanti
   • Eset: Win32/Adware.PCProtector.D
   • GData: Win32:Genome-IO
   • DrWeb: Trojan.Fakealert.18615

Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

Effetti secondari:
   • Duplica file “maligni”
   • Falsley segnala infezioni malware o problemi del sistema e offre all'utente le soluzioni, purché acquisti l'applicazione.
   • Modifica del registro

Giusto dopo l'esecuzione vengono visualizzate le seguenti informazioni:

File Si copia alla seguente posizione:
• %PROGRAM FILES%\Wireshark Antivirus\Wireshark Antivirus.exe

Vengono creati i seguenti file:

– %HOME%\Start Menu\Programs\WireShark Antivirus\Wireshark Antivirus.lnk
– %HOME%\Desktop\Wireshark Antivirus.lnk
– %PROGRAM FILES%\wp4.dat
– %PROGRAM FILES%\svchost.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Agent.25600.AA

– %PROGRAM FILES%\adc_w32.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/BHO.CK

– %PROGRAM FILES%\alggui.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Agent.42496.AA

– %PROGRAM FILES%\nuar.old
– %TEMPDIR%\win19.tmp
– %PROGRAM FILES%\wp3.dat
– %PROGRAM FILES%\scdata\dbsinit.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: 5318

Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\AdbUpd]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"="%PROGRAM FILES%\svchost.exe"
     "DisplayName"="Adobe Update Service"
     "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\AdbUpd\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\SYSTEM\CurrentControlSet\Services\AdbUpd\Enum]
   • "0"="Root\\LEGACY_ADBUPD\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

Registra un “browser helper object” (BHO) aggiungendo la seguente chiave:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{149256D5-E103-4523-BB43-2CFB066839D6}]

Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Wireshark Antivirus]
– [HKCU\Software\Wireshark Antivirus\Wireshark Antivirus]
– [HKCU\Software\Wireshark Antivirus\Wireshark Antivirus\setdata]
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000]
   • "Service"="AdbUpd"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Adobe Update Service"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="AdbUpd"

– [HKCR\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}]
   • @="ADC PlugIn"

– [HKCR\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}\InprocServer32]
   • @="%PROGRAM FILES%\adc_w32.dll"
   • "ThreadingModel"="Apartment"

Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • %PROGRAM FILES%\svchost.exe

   Se il malware fallisce viene terminato.
   Se il malware riesce, viene visualizzato il seguente:

Descrizione inserita da Patrick Schoenherr su venerdì 6 agosto 2010
Descrizione aggiornata da Patrick Schoenherr su venerdì 6 agosto 2010

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti