Полное описание

Имя:	TR/FakeAV.HM
Обнаружен:	06/08/2010
Вид:	Троянская программа
В реальных условиях:	Да
Отмеченные факты заражения:	От низкого до среднего
Потенциал распространения:	Средний
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	878.592 байт.
Контрольная сумма MD5:	b755deedb98872d8e255ae46d7f70289
Версия IVDF:	7.10.10.99 - пятница, 6 августа 2010 г.

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Avast: Win32:Genome-IO
   • Microsoft: Trojan:Win32/FakeScanti
   • Eset: Win32/Adware.PCProtector.D
   • GData: Win32:Genome-IO
   • DrWeb: Trojan.Fakealert.18615

Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

Последствия:
   • Создает вредоносные файлы
   • Falsley сообщает о заражении вредоносным ПО или неполадках в системе и предлагает устранение этих проблем при условии приобретения пользователем данного приложения.
   • Изменение реестра

После запуска передается следующая информация:

Файлы Создается собственная копия:
• %PROGRAM FILES%\Wireshark Antivirus\Wireshark Antivirus.exe

Создаются следующие файлы:

– %HOME%\Start Menu\Programs\WireShark Antivirus\Wireshark Antivirus.lnk
– %HOME%\Desktop\Wireshark Antivirus.lnk
– %PROGRAM FILES%\wp4.dat
– %PROGRAM FILES%\svchost.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Agent.25600.AA

– %PROGRAM FILES%\adc_w32.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/BHO.CK

– %PROGRAM FILES%\alggui.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Agent.42496.AA

– %PROGRAM FILES%\nuar.old
– %TEMPDIR%\win19.tmp
– %PROGRAM FILES%\wp3.dat
– %PROGRAM FILES%\scdata\dbsinit.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: 5318

Реестр Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\AdbUpd]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"="%PROGRAM FILES%\svchost.exe"
     "DisplayName"="Adobe Update Service"
     "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\AdbUpd\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\SYSTEM\CurrentControlSet\Services\AdbUpd\Enum]
   • "0"="Root\\LEGACY_ADBUPD\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

С добавлением следующего ключа регистрируется BHO (browser helper object):

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{149256D5-E103-4523-BB43-2CFB066839D6}]

Добавляются следующие ключи реестра:

– [HKCU\Software\Wireshark Antivirus]
– [HKCU\Software\Wireshark Antivirus\Wireshark Antivirus]
– [HKCU\Software\Wireshark Antivirus\Wireshark Antivirus\setdata]
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000]
   • "Service"="AdbUpd"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Adobe Update Service"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="AdbUpd"

– [HKCR\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}]
   • @="ADC PlugIn"

– [HKCR\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}\InprocServer32]
   • @="%PROGRAM FILES%\adc_w32.dll"
   • "ThreadingModel"="Apartment"

Инфицирование – Объект внедряется в процесс.

    Имя процесса:
   • %PROGRAM FILES%\svchost.exe

   При неудачном выполнении программа завершает собственный процесс.
   При успешном выполнении программы отображается следующая информация:

Описание добавил Patrick Schoenherr в(о) пятница, 6 августа 2010 г.
Описание обновил Patrick Schoenherr в(о) пятница, 6 августа 2010 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты