Имя:TR/Fake.SecSui.O
Обнаружен:12/07/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:293.632 байт.
Контрольная сумма MD5:29891f565c522214bec5ee4e5f635ceb
Версия VDF:7.10.09.72

 Общее Метод распространения:
   • Функция автозапуска


Псевдонимы (аliases):
   •  Kaspersky: Trojan.Win32.FraudPack.azkf
   •  Microsoft: Trojan:Win32/FakeSpypro
   •  Panda: Trj/CI.A
   •  Eset: Win32/Adware.SpywareProtect2009
   •  AhnLab: Trojan/Win32.FraudPack
   •  DrWeb: Trojan.Fakealert.18283


Операционная система:
   • Windows XP


Последствия:
   • Снижает уровень настроек безопасности
   • Отключение приложений безопасности
   • Изменение реестра

 Файлы Создается собственная копия:
   • %HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • nehlqwro"="%HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • nehlqwro"="%HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe



Добавляются следующие ключи реестра:

– [HKCU\Software\AVSS]
– [HKLM\Software\AVSS]
– [HKCU\Software\AVSuitE]
– [HKLM\Software\AVSuitE]
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Attachments]
   • "SaveZoneInformation"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"=".exe"



Изменяется следующий ключ реестра:

Снижает настройки безопасности Internet Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Прежнее значение:
   • "ProxyEnable"=dword:00000000
   Новое значение:
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:5577"
   • "ProxyOverride"=""
   •

Описание добавил Florian Burlefinger в(о) среда, 14 июля 2010 г.
Описание обновил Florian Burlefinger в(о) четверг, 15 июля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.