Полное описание

Имя:	TR/FakeAV.fmi
Обнаружен:	30/07/2010
Вид:	Троянская программа
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	От низкого до среднего
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	2.752.512 байт.
Контрольная сумма MD5:	99e2e3c8c2aeb5fe8a572d5a0B45571f
Версия IVDF:	7.10.09.88 - среда, 14 июля 2010 г.

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Symantec: Trojan.FakeAV!gen32
   • Kaspersky: Packed.Win32.Katusha.o
   • Sophos: Mal/FakeAV-BW
   • Microsoft: Trojan:Win32/FakeVimes
   • Panda: Adware/SecurityMasterAV
   • PCTools: Trojan.FakeAV
   • Eset: Win32/Kryptik.FMZ
   • AhnLab: Win-Trojan/Fakeav.2752512

Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7
   • Создает файлы
   • Создает вредоносные файлы

После запуска выдается следующая информация:

Файлы Создаются собственные копии:
   • c:\%текущая папка%\SecurityMasterAV.bin
   • %ALLUSERSPROFILE%\Application Data\%случайно выбранная директория%\%случайная буквенная комбинация%.exe

Изменяет следующий файл:
   • %WINDIR%\systems32\drivers\etc\hosts

Выполненная копия программы удаляется.

Создаются следующие файлы:

– %HOME%\Recent\%случайная буквенная комбинация%.dll
– %HOME%\Recent\%случайная буквенная комбинация%.drv
– %HOME%\Recent\%случайная буквенная комбинация%.tmp
– %ALLUSERSPROFILE%\Application Data\%случайно выбранная директория%\SMAV.ico
– %APPDATA%\Security Master AV\Instructions.ini
– %APPDATA%\Security Master AV\winupdate.exe
– C:\%текущая папка%\%случайная буквенная комбинация%.mof
– C:\%текущая папка%\SMAVSys\%случайная буквенная комбинация%.bd
– %ALLUSERSPROFILE%\Application Data\%случайно выбранная директория%\%случайная буквенная комбинация%.cfg

Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Security Master AV"="\"%ALLUSERSPROFILE%\Application Data\%случайно выбранная директория%\%случайная буквенная комбинация%.exe\" /s /d"

Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\Internet Explorer]
   • "IIL"=dword:00000000
   • "ltHI"=dword:00000000
   • "ltTST"=dword:00008e02

– [HKCU\Software\Microsoft\Internet Explorer\BrowserEmulation]
   • "MSCompatibilityMode"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\a.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\aAvgApi.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\AAWTray.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\adaware.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avmailc.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\belt.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\cfinet.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\dcomx.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ent.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\fch32.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\fullsoft.dll]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\hbinst.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\htmlmm.ocx]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\icmon.exe]
   • "Debugger"="svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\keenvalue.exe]
   • "Debugger"="svchost.exe"

– [HKCU\Software\3]
– [HKCR\SecurityMasterAV.DocHostUIHandler\Clsid]
   • @="{3F2BBC05-40DF-11D2-9455-00104BC936FF}"

– [HKCR\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}]
   • @="Implements DocHostUIHandler"

– [HKCR\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\LocalServer32]
   • @="c:\\xxx\\SecurityMasterAV.exe"

– [HKCR\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\ProgID]
   • @="SecurityMasterAV.DocHostUIHandler"

– [HKCR\SecurityMasterAV.DocHostUIHandler]
   • @="Implements DocHostUIHandler"

– [HKCU\Software\Microsoft\Internet Explorer\SearchScopes]
   • "URL"="http://findgala.com/?&uid=2129&q={searchTerms}"

Изменяются следующие ключи реестра:

– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Прежнее значение:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   Новое значение:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

Хосты Хост файл изменяется следующим образом:

– В этом случае существующие строки остаются.

– При попытке получить доступ к следующим доменам запрос перенаправляется на другой адрес:
   • 74.125.45.100 4-open-davinci.com
   • 74.125.45.100 securitysoftwarepayments.com
   • 74.125.45.100 privatesecuredpayments.com
   • 74.125.45.100 secure.privatesecuredpayments.com
   • 74.125.45.100 getantivirusplusnow.com
   • 74.125.45.100 secure-plus-payments.com
   • 74.125.45.100 www.getantivirusplusnow.com
   • 74.125.45.100 www.secure-plus-payments.com
   • 74.125.45.100 www.getavplusnow.com
   • 74.125.45.100 safebrowsing-cache.google.com
   • 74.125.45.100 urs.microsoft.com
   • 74.125.45.100 www.securesoftwarebill.com
   • 74.125.45.100 secure.paysecuresystem.com
   • 74.125.45.100 paysoftbillsolution.com
   • 74.125.45.100 protected.maxisoftwaremart.com

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Carlos Valero Llabata в(о) пятница, 6 августа 2010 г.
Описание обновил Carlos Valero Llabata в(о) пятница, 6 августа 2010 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты