Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияTrojan.Win32.FraudPack.aolb

Trojan.Win32.FraudPack.aolb

Время детектирования 11 мар 2010 17:04 MSK
Время выпуска обновления 11 мар 2010 22:24 MSK
Описание опубликовано 31 май 2010 17:44 MSK

Экспертное описание Автоматическое описание
Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 186880 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 1,2 МБ. Написана на C++.

Инсталляция

При запуске троянец перемещает свое тело в следующий файл: 

%AppData%\av.exe
файл создается с атрибутами "скрытый" (hidden) и "системный" (system).

Кроме того, троянец создает ярлыки: 

%USERPROFILE%\Start Menu\XP_AntiSpyware.lnk
%USERPROFILE%\Desktop\XP_AntiSpyware.lnk
%AppData%\Microsoft\Internet Explorer\Quick Launch\XP_AntiSpyware.lnk
Все ярлыки указывают на файл: 
%AppData%\av.exe


Деструктивная активность

Троянец представляет собой лже-антивирус и после запуска имитирует работу антивирусной программы.

Также изменяются значения следующих ключей системного реестра:

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile]
"EnableFirewall" = "0"
"DoNotAllowExceptions" = "0"
"DisableNotifications" = "1"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile]
"EnableFirewall" = "0"


[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile]
"DoNotAllowExceptions" = "0"
"DisableNotifications" = "1"


[HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start" = "4"

[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = "1"
"AntiVirusOverride" = "1"
"FirewallDisableNotify" = "1"
"FirewallOverride" = "1"
"UpdatesDisableNotify" = "1"
Таким образом, троянец отключает брандмауэр Windows.

Кроме того, в процессе своей работы троянец пытается загрузить файлы со следующих хостов: 

*****pc-care.com
*****are-antivirus.com
*****re-antivirus2010.com
*****ve-care2010.com
*****ve-care21.com
*****ve-care2010.com
*****pccare.com
*****ws-live-care.com
*****rd2010.com
*****-live.com
*****onerduma.com
Загруженные файлы сохраняются во временном каталоге "%Temporary Internet Files%".


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи Диспетчера задач завершить троянский процесс.
  2. Удалить файлы: 
    %AppData%\av.exe
%USERPROFILE%\Start Menu\XP_AntiSpyware.lnk
%USERPROFILE%\Desktop\XP_AntiSpyware.lnk
%AppData%\Microsoft\Internet Explorer\Quick Launch\XP_AntiSpyware.lnk
  3. Восстановить исходные значения ключей системного реестра (как работать с реестром?):
    [HKLM\System\CurrentControlSet\Services\SharedAccess\
    Parameters\FirewallPolicy\StandardProfile]
    "EnableFirewall" = "0"
    "DoNotAllowExceptions" = "0"
    "DisableNotifications" = "1"

    [HKLM\System\CurrentControlSet\Services\SharedAccess\
    Parameters\FirewallPolicy\DomainProfile]
    "EnableFirewall" = "0"

    [HKLM\System\CurrentControlSet\Services\SharedAccess\
    Parameters\FirewallPolicy\DomainProfile]
    "DoNotAllowExceptions" = "0"
    "DisableNotifications" = "1"

    [HKLM\System\CurrentControlSet\Services\SharedAccess]
    "Start" = "4"

    [HKLM\SOFTWARE\Microsoft\Security Center]
    "AntiVirusDisableNotify" = "1"
    "AntiVirusOverride" = "1"
    "FirewallDisableNotify" = "1"
    "FirewallOverride" = "1"
    "UpdatesDisableNotify" = "1"
  4. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).



Печать
Bookmark and Share
Закладки
Троянские программы
Trojan

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.


Другие модификации
Trojan.Win32.FraudPack.aceg
Trojan.Win32.FraudPack.akqu
Trojan.Win32.FraudPack.amqa
Trojan.Win32.FraudPack.anmu
Trojan.Win32.FraudPack.aoip
Trojan.Win32.FraudPack.aopr
Trojan.Win32.FraudPack.aown

Другие названия

Trojan.Win32.FraudPack.aolb («Лаборатория Касперского») также известен как:

  • Trojan: FakeAlert-MY.a (McAfee)
  • Troj/FakeAV-AZQ (Sophos)
  • Trojan.FakeAV-331 (ClamAV)
  • Adware/XPAntiSpyware2010 (Panda)
  • W32/FakeAV.TM (FPROT)
  • Rogue:Win32/FakeRean (MS(OneCare))
  • Trojan.Fakealert.11956 (DrWeb)
  • Trojan.Generic.3579125 (BitDef7)
  • Trojan.Fraudpack.Gen!Pac.5 (VirusBuster)
  • Win32:Bredolab-CK [Trj] (AVAST)
  • Trojan.Win32.FakeAV (Ikarus)
  • Packed.Mystic!gen4 (NAV)
  • Trojan.Win32.FraudPack.aolb [AVP] (FSecure)
  • TROJ_FAKEAV.GAT (TrendMicro)
  • VirTool.Win32.Obfuscator.hg!a (v) (Sunbelt)
  • Trojan.Fraudpack.Gen!Pac.5 (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск