Имя:TR/FakeAV.HM.1
Обнаружен:06/08/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:2.078.208 байт.
Контрольная сумма MD5:8ebc07e25eb95adc7236406937728d18
Версия IVDF:7.10.10.99 - пятница, 6 августа 2010 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдоним (alias):
   •  Mcafee: FakeAlert-SysAV.a


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Создает вредоносные файлы
   • Falsley сообщает о заражении вредоносным ПО или неполадках в системе и предлагает устранение этих проблем при условии приобретения пользователем данного приложения.
   • Изменение реестра


После запуска передается следующая информация:



 Файлы Создается собственная копия:
   • %PROGRAM FILES%\Sysinternals Antivirus\Sysinternals Antivirus.exe

– %HOME%\Desktop\Sysinternals Antivirus.lnk
%PROGRAM FILES%\svchost.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Agent.25600.AA

%PROGRAM FILES%\wp4.dat
%PROGRAM FILES%\wp3.dat
%PROGRAM FILES%\adc_w32.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/BHO.CK

%PROGRAM FILES%\alggui.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Agent.42496.AA

%TEMPDIR%\win1.tmp
%PROGRAM FILES%\nuar.old
%PROGRAM FILES%\scdata\dbsinit.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/FakeSC.A

 Реестр С добавлением следующего ключа регистрируется BHO (browser helper object):

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{149256D5-E103-4523-BB43-2CFB066839D6}]


Добавляются следующие ключи реестра:

– [HKCU\Software\Sysinternals Antivirus]
– [HKCU\Software\Sysinternals Antivirus\Sysinternals Antivirus]
– [HKCU\Software\Sysinternals Antivirus\Sysinternals Antivirus\
   setdata]
– [HKCR\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}]
   • "(Default)"="ADC PlugIn"

– [HKCR\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}\InprocServer32]
   • "(Default)"="%PROGRAM FILES%\adc_w32.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\exefile\shell\open\command]
   • "(Default)"="%PROGRAM FILES%\alggui.exe "%1" %*"

 Инфицирование – Объект внедряется в процесс.

    Имя процесса:
   • %PROGRAM FILES%\svchost.exe

   При неудачном выполнении программа завершает собственный процесс.
   При успешном выполнении программы отображается следующая информация:


Описание добавил Patrick Schoenherr в(о) пятница, 6 августа 2010 г.
Описание обновил Patrick Schoenherr в(о) пятница, 6 августа 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.