Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияTrojan.Win32.FraudPack.akqu

Trojan.Win32.FraudPack.akqu

Время детектирования 31 янв 2010 01:31 MSK
Время выпуска обновления 31 янв 2010 05:31 MSK
Описание опубликовано 26 фев 2010 10:45 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 1328640 байт. Написана на C++.

Инсталляция

После запуска троянец перемещает свое тело в файл: 

%Program Files%\InternetSecurity2010\IS2010.exe
Для идентификации своего присутствия в системе троянец создает следующие ключи системного реестра:
[HKCU\Software\IS2010]
"LastVFC" = "25"
"VirList"
= "55|41|17|26|33|52|28|10|40|9|39|52|37|12|8|36|44|56|23
|36|34|15|15|41|1|55" "LastD" = "1"
Для автоматического запуска своего оригинального файла при каждом следующем старте системы троянец создает следующий ключ системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Internet Security 2010" = "%Program Files%\InternetSecurity2010
\IS2010.exe"
Кроме того, троянец создает ярлыки:
%USERPROFILE%\Start Menu\Internet Security 2010.lnk
%USERPROFILE%\Desktop\Internet Security 2010.lnk
%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick
Launch\Internet Security 2010.lnk
Все ярлыки указывают на файл: 
%Program Files%\InternetSecurity2010\IS2010.exe
Далее троянец запускает на выполнение файл "IS2010.exe" и завершает свою работу.


Деструктивная активность

Троянец представляет собой лже-антивирус. После запуска троянец имитирует работу антивирусной программы, отображая на экране следующие окна:

  • логотип программы:

  • имитация процесса сканирования файловой системы компьютера:

     

  • вывод ложного сообщения о наличии множества вирусов:

     

При нажатии на кнопку "Fix my computer" отображается окно ввода ключа активации лже-антивирусной программы:

а также в установленном по умолчанию браузере открывается ссылка: 

http://bu***ty10.com/buy/?code=00000000
На данном сайте производится ввод данных для покупки лицензии:

 

При попытке включения отключенных функций лже-антивируса, также производится запуск рассмотренного процесса активации:

 


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи Диспетчера задач завершить процесс "IS2010.exe".
  2. Удалить файлы:
    %Program Files%\InternetSecurity2010\IS2010.exe
    %USERPROFILE%\Start Menu\Internet Security 2010.lnk
    %USERPROFILE%\Desktop\Internet Security 2010.lnk
    %USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick
    Launch\Internet Security 2010.lnk
  3. Удалить ключи системного реестра (как работать с реестром?):
    [HKCU\Software\IS2010]
    "LastVFC" = "25"
    "VirList"
    = "55|41|17|26|33|52|28|10|40|9|39|52|37|12|8|36|
    44|56|23|36|34|15|15|41|1|55" "LastD" = "1"

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "Internet Security 2010" = "%Program Files%\InternetSecurity2010\IS2010.exe"
  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).



Печать
Bookmark and Share
Закладки
Троянские программы
Trojan

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.


Другие модификации
Trojan.Win32.FraudPack.aceg
Trojan.Win32.FraudPack.amqa
Trojan.Win32.FraudPack.anmu
Trojan.Win32.FraudPack.aoip
Trojan.Win32.FraudPack.aolb
Trojan.Win32.FraudPack.aopr
Trojan.Win32.FraudPack.aown

Другие названия

Trojan.Win32.FraudPack.akqu («Лаборатория Касперского») также известен как:

  • Trojan: FakeAlert-KS.a (McAfee)
  • Mal/Generic-L (Sophos)
  • Trojan.Fraudpack-4506 (ClamAV)
  • Trj/Zlob.KH (Panda)
  • W32/Swizzor-based.2!Maximus (FPROT)
  • Rogue:Win32/Fakeinit (MS(OneCare))
  • Trojan.Fakealert.11570 (DrWeb)
  • Win32/Kryptik.CBY trojan (Nod32)
  • Trojan.Fakealert.BUF (BitDef7)
  • Trojan.FraudPack!0XDx5k41P/0 (VirusBuster)
  • Win32:Rootkit-gen [Rtk] (AVAST)
  • Trojan.Fakealert (Ikarus)
  • Crypt.NWL (AVG)
  • Trojan Horse (NAV)
  • W32/FakeAV.JCG!genr (Norman)
  • Trojan.Win32.FakeAV.avz (Rising)
  • Trojan.Win32.FraudPack.akqu [AVP] (FSecure)
  • TROJ_FAKEAV.BMS (TrendMicro)
  • Trojan.Win32.Generic!BT (Sunbelt)
  • Trojan.FraudPack!0XDx5k41P/0 (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск