RSS-каналы
Уровень опасности: 1
Trojan.Win32.FraudPack.aoip
| Время детектирования | 10 мар 2010 16:26 MSK |
| Время выпуска обновления | 10 мар 2010 19:38 MSK |
| Описание опубликовано | 20 май 2010 14:01 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 186880 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 1258 КБ. Написана на C++.
Инсталляция
После запуска троянец перемещает свое тело в следующий файл:
%USERPROFILE%\Local Settings\Application Data\av.exeФайл создается с атрибутами "скрытый" (hidden) и "системный" (system).
Кроме того, троянец создает ярлыки:
%USERPROFILE%\Start Menu\XP_AntiSpyware.lnk %USERPROFILE%\Desktop\XP_AntiSpyware.lnk %USERPROFILE%\Application Data\Microsoft\Internet Explorer\QuickВсе ярлыки указывают на файл:
Launch\XP_AntiSpyware.lnk
%USERPROFILE%\Local Settings\Application Data\av.exeДалее троянец запускает на выполнение файл "av.exe" и завершает свою работу.
Деструктивная активность
Троянец представляет собой лже-антивирус. После запуска троянец имитирует работу антивирусной программы, отображая на экране окна следующего содержания:
- имитация процесса сканирования файловой системы компьютера:
- вывод ложного сообщения о наличии множества вирусов:
Нажатие на область с надписью "Register now" приводит к отображению окна выбора типа приобретаемой лицензии, а также формы для ввода данных кредитной карты.
Кроме того, троянец отображает в области уведомлений сообщения следующего вида:
В процессе своей работы троянец создает уникальные идентификаторы с именами:
{C9A34C77-4D69-45EC-A07D-83242376045D}D68DDC3A-
831F-4FAE-9E44-DA132C1ACF46
Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = "0"
"DoNotAllowExceptions" = "0"
"DisableNotifications" = "1"
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = "0"
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\DomainProfile]
"DoNotAllowExceptions" = "0"
"DisableNotifications" = "1"
[HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start" = "4"
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = "1"
"AntiVirusOverride" = "1"
"FirewallDisableNotify" = "1"
"FirewallOverride" = "1"
"UpdatesDisableNotify" = "1"
Кроме того, в процессе своей работы троянец пытается загрузить файлы со следующих хостов:
live-pc-care.com one-care-antivirus.com onecare-antivirus2010.com winlive-care2010.com winlive-care21.com win-live-care2010.com live-pccare.com windows-live-care.com pcguard2010.com pcwin-live.com tulibonerduma.comЗагруженные файлы сохраняются в каталоге "%Temporary Internet Files%".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- Удалить файлы:
%USERPROFILE%\Local Settings\Application Data\av.exe
%USERPROFILE%\Start Menu\XP_AntiSpyware.lnk
%USERPROFILE%\Desktop\XP_AntiSpyware.lnk
%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick
Launch\XP_AntiSpyware.lnk - Восстановить исходные значения ключей системного реестра (как работать с реестром?):
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = "0"
"DoNotAllowExceptions" = "0"
"DisableNotifications" = "1"
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = "0"
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\DomainProfile]
"DoNotAllowExceptions" = "0"
"DisableNotifications" = "1"
[HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start" = "4"
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = "1"
"AntiVirusOverride" = "1"
"FirewallDisableNotify" = "1"
"FirewallOverride" = "1"
"UpdatesDisableNotify" = "1" - Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.
К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.
Trojan.
- Mal/FakeAV-BT (Sophos)
- Trj/Katusha.
J (Panda) - Trojan:
Win32/Orsam!rts (MS(OneCare)) - Trojan.
Fakealert. 11956 (DrWeb) - Trojan.
FakeAlert. BXB (BitDef7) - Trojan.
Fraudpack. Gen!Pac. 5 (VirusBuster) - Win32:
Bredolab-CJ [Trj] (AVAST) - Trojan.
Win32. FakeAV (Ikarus) - Cryptic.
BD (AVG) - Packed.
Mystic!gen4 (NAV) - Trojan.
Win32. Generic. 11E3114C (Rising) - Trojan.
Win32. FraudPack. aoip [AVP] (FSecure) - TROJ_KRAP.
SMEP (TrendMicro) - Trojan.
Win32. FraudPack (Sunbelt) - Trojan.
Fraudpack. Gen!Pac. 5 (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей