Имя:TR/FakeScanner.ziu
Обнаружен:12/11/2008
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:899.024 байт.
Контрольная сумма MD5:958feedf34cba174a85f4f58bb65955a
Версия VDF:7.01.00.70
Версия IVDF:7.01.00.77 - четверг, 13 ноября 2008 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Eset: Win32/Genetik
   •  Bitdefender: Trojan.Generic.969530


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файл
   • Изменение реестра


После запуска выдается следующая информация:


 Файлы Создается собственная копия:
   • %PROGRAM FILES%\PCPrivacyCleaner\pcpc.exe



Создается следующая директория:
   • %PROGRAM FILES%\PCPrivacyCleaner



Создаются следующие файлы:

%Рабочая папка вредоносной программы%\PCPrivacyCleaner.lnk
– %ALLUSERSPROFILE%\Start Menu\Programs\PCPrivacyCleaner\PCPrivacyCleaner.lnk
– %ALLUSERSPROFILE%\Start Menu\Programs\PCPrivacyCleaner\Uninstall PCPrivacyCleaner.lnk
%home%\Application Data\Microsoft\Internet Explorer\Quick Launch\PCPrivacyCleaner.lnk
%home%\Application Data\PCPrivacyCleaner\Logs\scns.txt



Попытка загрузки следующего файла:

– Следующий URL:
   • http://www.instlog.pcprivacycleaner.com/**********
Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • PCPrivacyCleaner="%PROGRAM FILES%\PCPrivacyCleaner\pcpc.exe"



Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\PCPrivacyCleaner]
   • "LicenseAccepted"=hex:01
   • "InstallDate"=%шестнадцатиричное значение%
   • "ActivationCode"=%шестнадцатиричное значение%
   • "Version"=%шестнадцатиричное значение%
   • "LastScanTime"=%шестнадцатиричное значение%
   • "TotalScanCount"=%шестнадцатиричное значение%

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\
   PCPrivacyCleaner]
   • DisplayName="PCPrivacyCleaner"
   • UninstallString=""%PROGRAM FILES%\PCPrivacyCleaner\pcpc.exe" -uninstall"
   • NoModify=dword:00000001

– [HKLM\Software\{65DE966D-11D1-4bb1-BF7E-B8A273514DAF}]
   • Version=hex:33,50,5f,55,50,43,50,43,53,45

 Разное Мьютекс:
Создается мьютекс:
   • PCPrivacyCleaner%шестнадцатиричное значение%-%шестнадцатиричное значение%-%шестнадцатиричное значение%-%шестнадцатиричное значение%-%шестнадцатиричное значение%

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • AS Pack

Описание добавил Monica Ghitun в(о) вторник, 16 декабря 2008 г.
Описание обновил Monica Ghitun в(о) вторник, 16 декабря 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.