Имя:TR/FraudPack.azgx
Обнаружен:11/07/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От среднего до высокого
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:293.632 байт.
Контрольная сумма MD5:22238109881991c13518bf79d3f0bf71
Версия IVDF:7.10.09.57 - воскресенье, 11 июля 2010 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: SpywareGuard2008
   •  Mcafee: FakeAlert-SpyPro.gen.p
   •  Kaspersky: Trojan.Win32.FraudPack.azgx
   •  TrendMicro: TROJ_FAKEAV.SMES
   •  F-Secure: Trojan.Generic.KD.19444
   •  Sophos: Mal/FakeAV-DO
   •  Bitdefender: Trojan.Generic.KD.19444
   •  Panda: Trj/CI.A


Операционные системы:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Блокирует доступ к различным веб-сайтам
   • Блокирует доступ к веб-страницам IT-security компаний
   • Снижает уровень настроек безопасности
   • Falsley сообщает о заражении вредоносным ПО или неполадках в системе и предлагает устранение этих проблем при условии приобретения пользователем данного приложения.
   • Изменение реестра
   • Redirects to an infected website (ru)


После запуска выдается следующая информация:


 Файлы Создаются собственные копии:
   • %HOME%\Local Settings\Application Data\%случайно выбранная директория%
   • \%случайная буквенная комбинация%.exe

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%случайная буквенная комбинация%"="%HOME%\Local Settings\Application Data\%случайно выбранная директория%\%случайная буквенная комбинация%.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%случайная буквенная комбинация%"="%HOME%\Local Settings\Application Data\%случайно выбранная директория%\%случайная буквенная комбинация%.exe"



Добавляются следующие ключи реестра:

– [HKCU\Software\AVSS]
   • "knkd"=dword:00000001
   • "aazalirt"=dword:00000001
   • "skaaanret"=dword:00000001
   • "jungertab"=dword:00000001
   • "zibaglertz"=dword:00000001
   • "iddqdops"=dword:00000001
   • "ronitfst"=dword:00000001
   • "tobmygers"=dword:00000001
   • "jikglond"=dword:00000001
   • "tobykke"=dword:00000001
   • "klopnidret"=dword:00000001
   • "jiklagka"=dword:00000001
   • "salrtybek"=dword:00000001
   • "seeukluba"=dword:00000001
   • "jrjakdsd"=dword:00000001
   • "krkdkdkee"=dword:00000001
   • "dkewiizkjdks"=dword:00000001
   • "dkekkrkska"=dword:00000001
   • "rkaskssd"=dword:00000001
   • "kuruhccdsdd"=dword:00000001
   • "krujmmwlrra"=dword:00000001
   • "kkwknrbsggeg"=dword:00000001
   • "ktknamwerr"=dword:00000001
   • "iqmcnoeqz"=dword:00000001
   • "ienotas"=dword:00000001
   • "krkmahejdk"=dword:00000001
   • "otpeppggq"=dword:00000001
   • "krtawefg"=dword:00000001
   • "oranerkka"=dword:00000001
   • "kitiiwhaas"=dword:00000001
   • "otowjdseww"=dword:00000001
   • "otnnbektre"=dword:00000001
   • "oropbbsee"=dword:00000001
   • "irprokwks"=dword:00000001
   • "ooorjaas"=dword:00000001
   • "id"="70.10"

– [HKCU\Software\AVSuitE]
– [HKLM\Software\AVSuitE]
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Attachments]
   • "SaveZoneInformation"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"=".exe"

– [HKLM\Software\AVSS]


Изменяются следующие ключи реестра:

Снижает настройки безопасности Internet Explorer:

– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Новое значение:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

– [HKCU\Software\Microsoft\Internet Explorer\PhishingFilter]
   Новое значение:
   • "EnabledV8"=dword:00000000
   • "Enabled"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Прежнее значение:
   • "ProxyEnable"=dword:00000000
   Новое значение:
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:5577"
   • "ProxyOverride"=""

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Patrick Schoenherr в(о) вторник, 13 июля 2010 г.
Описание обновил Patrick Schoenherr в(о) четверг, 15 июля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.