Full description

Nume:	TR/Fakealert.HC
Descoperit pe data de:	16/10/2008
Tip:	Troian
ITW:	Da
Numar infectii raportate:	Scazut spre mediu
Potential de raspandire:	Scazut spre mediu
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	44.032 Bytes
MD5:	9d40e58d4b91df1fdf7afd3b05dba6d6
Versiune IVDF:	7.00.07.47 - quinta-feira, 16 de outubro de 2008

General Metoda de raspandire:
   • Email

Alias:
   • Symantec: Trojan.Virantix.C
   • Kaspersky: Backdoor.Win32.UltimateDefender.tt
   • F-Secure: Trojan-Downloader:W32/FakeAlert.BG
   • Sophos: Troj/FakeVir-GL
   • Panda: Adware/XPAntiSpyware2009
   • Grisoft: Downloader.Zlob.AEVS
   • VirusBuster: Trojan.Renos.AUI
   • Eset: Win32/TrojanDownloader.FakeAlert.MN trojan
   • Bitdefender: Packer.Malware.Lighty.I

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri

Fisiere Sunt create fisierele:

– %SYSDIR%\brastk.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.FraudLo.bai

– %SYSDIR%\dllcache\figaro.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Rootkit.Gen

– %SYSDIR%\dllcache\beep.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Rootkit.Gen

– %SYSDIR%\drivers\beep.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Rootkit.Gen

– %WINDIR%\delself.bat Fisierul batch este folosit pentru stergerea unui fisier.

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"

Se adauga in registrii sistemului:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • PendingFileRenameOperations=%valori hex%

Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:

De la:
Adresa este falsificata.

Subiect:
Urmatorul:
   • New anjelina jolie sex scandal

Corpul email-ului:
Corpul email-ului este:
   • anjelina jolie porn video, file attached, watch it

Atasament:
Numele fisierului atasat este urmatorul:
   • angelina_video.zip

Atasamentul este o arhiva ce contine chiar o copie malware.

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Thomas Wegele em quarta-feira, 22 de outubro de 2008
Descrição atualizada por Thomas Wegele em quarta-feira, 22 de outubro de 2008

Voltar . . . .

Proteçao especial para PCs

Produtos gratuitos

Produtos mais populares

Todos os produtos

Soluçoes em pacote

Estaçoes de trabalho

Server

Soluçoes em pacote

Mail Gateways

Web Gateways

Plataformas de colaboraçao

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas