Full description

Nume:	TR/Fake.Rean.2000
Descoperit pe data de:	19/05/2011
Tip:	Troian
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	331.776 Bytes
MD5:	CA18B9A0A795F34DDECFF047F63FF188
Versiune VDF:	7.11.08.67 - quinta-feira, 19 de maio de 2011
Versiune IVDF:	7.11.08.67 - quinta-feira, 19 de maio de 2011

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • TrendMicro: TROJ_FAKEAV.HXZ
   • Sophos: Mal/FakeAV-JR
   • Microsoft: Rogue:Win32/FakeRean

Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7

Efecte secundare:
   • Blocheaza accesul la website-uri ale firmelor de securitate
   • Creeaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri

Imediat dupa lansarea in executie, pe ecran este afisat:

Fisiere Se copiaza in urmatoarea locatie:
• %HOME%\Local Settings\Application Data\%combinatie de caractere aleatoare%.exe

Sterge copia initiala a virusului.

Sunt create fisierele:

– %TEMPDIR%\i05d3j1a3d2v4e7h23351jay55r4w
– %ALLUSERSPROFILE%\Application Data\i05d3j1a3d2v4e7h23351jay55r4w
– %HOME%\Local Settings\Application Data\i05d3j1a3d2v4e7h23351jay55r4w
– %TEMPDIR%\i05d3j1a3d2v4e7h23351jay55r4w
– %HOME%\Templates\i05d3j1a3d2v4e7h23351jay55r4w

Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000
   • "EnableFirewall"=dword:00000000
   • "DisableNotifications"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile]
   • "EnableFirewall"=dword:00000000
   • "DoNotAllowExceptions"=dword:00000000
   • "DisableNotifications"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="%SYSDIR%\ctfmon.exe"

– [HKCR\.exe\shell\open\command]
   • "(Default)"="\"%HOME%\Local Settings\Application Data\\%combinatie de caractere aleatoare%.exe\" -a \"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"

– [HKCR\exefile\shell\open\command]
   • "(Default)"="\"%HOME%\Local Settings\Application Data\\%combinatie de caractere aleatoare%.exe\" -a \"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"

– [HKCR\exefile\shell\runas\command]
   • "(Default)"="\"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"

– [HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\
   command]
   • "(Default)"="\"%HOME%\Local Settings\Application Data\\%combinatie de caractere aleatoare%.exe\" -a \"%PROGRAM FILES%\Intern"

Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Noua valoare:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001

Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

Numele procesului:
• iexplore.exe

Alte informatii Acceseaza resurse de pe internet:
   • **********ifyzadiby.com/1013000412;
      **********upinycom.com/1013000412;
      **********ecolun.com/1013000412;
      **********epelihyzex.com/1013000412;
      **********eriwihat.com/1013000412;
      **********idicawisos.com/1013000412;
      **********ipabamefuw.com/1013000412;
      **********ucerybaqecy.com/1013000412;
      **********ylocimemyja.com/1013000412;
      **********oralipijago.com/1013000412;
      **********ykacagatet.com/1013000412;
      **********ipemura.com/1013000412;
      **********ulipum.com/1013000412;
      **********awekugygil.com/1013000412;
      **********ujykolenuja.com/1013000412

Descrição enviada por Andrei Ilie em terça-feira, 16 de agosto de 2011
Descrição atualizada por Andrei Ilie em terça-feira, 16 de agosto de 2011

Voltar . . . .

Precisa consertar seu PC?

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas