Trojan.Win32.FraudPack.aceg

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 1601536 байт. Написана на C++.

Деструктивная активность

Троянец представляет собой лже-антивирус. После запуска троянец имитирует работу антивирусной программы, отображая на экране следующие окна:

• логотип программы:
  
  
  
  
  
• имитация процесса сканирования файловой системы компьютера:
  
  
  

  
  
• вывод ложного сообщения о наличии множества вирусов:
  
  
  

Нажатие на область с надписью "Activate your copy" приводит к отображению окна выбора типа приобретаемой лицензии:

Далее, после нажатия на область "proceed to checkout" производится отображение формы для ввода данных кредитной карты:


В процессе своей работы троянец создает следующие ключи системного реестра: Это приводит к автоматическому запуску троянца при каждом следующем старте системы.

[HKLM\Software\AntiMalware]
"Settings_0" = "0"
"SecStatus_3"= "1"
"SecStatus_4" = "1"
"SecStatus_5" = "1"
"FD" = "0"
"GUID" = "598715405987049459869420"
"Data" = ":1866:1977:2088:2310:2643:2754:2865:2976:3087:3198:3531:"
"swver" = "1.0"
"dbver" = "1.0"
"dbsigns" = "61473"

Также троянец запускает системную утилиту "net.exe" со следующими параметрами:

net stop wscsvc
net start winmgmt

Это приводит к остановке службы "wscsvc", и запуску службы "winmgmt". Кроме того, в процессе своей работы троянец загружает файлы со следующих хостов:

la***urity.cn
gu***web.cn

Загруженные файлы сохраняются в каталоге "%Temporary Internet Files%".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить ключи системного реестра (как работать с реестром?):
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "AntiMalware" = "<полный путь к оригинальному файлу троянца> -noscan"
   
   [HKLM\Software\AntiMalware] "Settings_0" = "0" "SecStatus_3"= "1" "SecStatus_4" = "1" "SecStatus_5" = "1" "FD" = "0" "GUID" = "598715405987049459869420" "Data" = ":1866:1977:2088:2310:2643:2754:2865:2976:3087:3198:3531:" "swver" = "1.0" "dbver" = "1.0" "dbsigns" = "61473"
4. Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):

   %Temporary Internet Files%

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).