VírusTR/FraudPack.azgx
Data em que surgiu:11/07/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De médio a elevado
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:293.632 Bytes
MD5 checksum:22238109881991c13518bf79d3f0bf71
Versão IVDF:7.10.09.57 - domingo, 11 de julho de 2010

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: SpywareGuard2008
   •  Mcafee: FakeAlert-SpyPro.gen.p
   •  Kaspersky: Trojan.Win32.FraudPack.azgx
   •  TrendMicro: TROJ_FAKEAV.SMES
   •  F-Secure: Trojan.Generic.KD.19444
   •  Sophos: Mal/FakeAV-DO
   •  Bitdefender: Trojan.Generic.KD.19444
   •  Panda: Trj/CI.A


Sistemas Operativos:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Bloqueia o acesso a determinados Web sites
   • Bloqueia o acesso a Web sites de segurança
   • Baixa as definições de segurança
   • Gera relatórios falsos de infecção de malware ou problemas do sistema e oferece soluções para corrigir o problema se o usuário comprar o aplicativo.
   • Altera o registo do Windows
   • Redirects to an infected website (pt)


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para as seguintes localizações
   • %HOME%\Local Settings\Application Data\%directório seleccionado aleatoriamente%
   • \%uma série de caracteres aleatórios%.exe

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%uma série de caracteres aleatórios%"="%HOME%\Local Settings\Application Data\%directório seleccionado aleatoriamente%\%uma série de caracteres aleatórios%.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%uma série de caracteres aleatórios%"="%HOME%\Local Settings\Application Data\%directório seleccionado aleatoriamente%\%uma série de caracteres aleatórios%.exe"



São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\AVSS]
   • "knkd"=dword:00000001
   • "aazalirt"=dword:00000001
   • "skaaanret"=dword:00000001
   • "jungertab"=dword:00000001
   • "zibaglertz"=dword:00000001
   • "iddqdops"=dword:00000001
   • "ronitfst"=dword:00000001
   • "tobmygers"=dword:00000001
   • "jikglond"=dword:00000001
   • "tobykke"=dword:00000001
   • "klopnidret"=dword:00000001
   • "jiklagka"=dword:00000001
   • "salrtybek"=dword:00000001
   • "seeukluba"=dword:00000001
   • "jrjakdsd"=dword:00000001
   • "krkdkdkee"=dword:00000001
   • "dkewiizkjdks"=dword:00000001
   • "dkekkrkska"=dword:00000001
   • "rkaskssd"=dword:00000001
   • "kuruhccdsdd"=dword:00000001
   • "krujmmwlrra"=dword:00000001
   • "kkwknrbsggeg"=dword:00000001
   • "ktknamwerr"=dword:00000001
   • "iqmcnoeqz"=dword:00000001
   • "ienotas"=dword:00000001
   • "krkmahejdk"=dword:00000001
   • "otpeppggq"=dword:00000001
   • "krtawefg"=dword:00000001
   • "oranerkka"=dword:00000001
   • "kitiiwhaas"=dword:00000001
   • "otowjdseww"=dword:00000001
   • "otnnbektre"=dword:00000001
   • "oropbbsee"=dword:00000001
   • "irprokwks"=dword:00000001
   • "ooorjaas"=dword:00000001
   • "id"="70.10"

– [HKCU\Software\AVSuitE]
– [HKLM\Software\AVSuitE]
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Attachments]
   • "SaveZoneInformation"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"=".exe"

– [HKLM\Software\AVSS]


Altera as seguintes chaves de registo do Windows:

Opções de segurança baixa no Internet Explorer:

– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Valor recente:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

– [HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
   Valor recente:
   • "EnabledV8"=dword:00000000
   • "Enabled"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valor anterior:
   • "ProxyEnable"=dword:00000000
   Valor recente:
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:5577"
   • "ProxyOverride"=""

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Patrick Schoenherr em terça-feira, 13 de julho de 2010
Descrição atualizada por Patrick Schoenherr em quinta-feira, 15 de julho de 2010

Voltar . . . .