Имя:TR/Fakealert.HC
Обнаружен:16/10/2008
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:44.032 байт.
Контрольная сумма MD5:9d40e58d4b91df1fdf7afd3b05dba6d6
Версия IVDF:7.00.07.47 - четверг, 16 октября 2008 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Symantec: Trojan.Virantix.C
   •  Kaspersky: Backdoor.Win32.UltimateDefender.tt
   •  F-Secure: Trojan-Downloader:W32/FakeAlert.BG
   •  Sophos: Troj/FakeVir-GL
   •  Panda: Adware/XPAntiSpyware2009
   •  Grisoft: Downloader.Zlob.AEVS
   •  VirusBuster: Trojan.Renos.AUI
   •  Eset: Win32/TrojanDownloader.FakeAlert.MN trojan
   •  Bitdefender: Packer.Malware.Lighty.I


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Создаются следующие файлы:

%SYSDIR%\brastk.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.FraudLo.bai

%SYSDIR%\dllcache\figaro.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Rootkit.Gen

%SYSDIR%\dllcache\beep.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Rootkit.Gen

%SYSDIR%\drivers\beep.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Rootkit.Gen

%WINDIR%\delself.bat Данный batch-файл используется для удаления файла.

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"



Добавляется следующий ключ реестра:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • PendingFileRenameOperations=%шестнадцатиричное значение%

 Email Программа не имеет собственной процедуры распространения. Распространяется с помощью электронной почты. Подробности приведены ниже:


От:
Адрес отправителя был фальсифицирован.


Тема:
Следующее:
   • New anjelina jolie sex scandal



Тело:
Тело письма имеет следующий вид:
   • anjelina jolie porn video, file attached, watch it


Прикрепленный файл:
Следующее имя прикрепленного файла:
   • angelina_video.zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Thomas Wegele в(о) среда, 22 октября 2008 г.
Описание обновил Thomas Wegele в(о) среда, 22 октября 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.