Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan.Win32.FraudPack.aown

Trojan.Win32.FraudPack.aown

Время детектирования	19 мар 2010 14:23 MSK
Время выпуска обновления	19 мар 2010 20:39 MSK
Описание опубликовано	20 май 2010 15:32 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 204800 байт. Упакована неизвестным упаковщиком. Написана на C++.

Деструктивная активность

Если при запуске имя исполняемого файла и его расположение отличалось от ниже перечисленных:

%Application Data%\ave.exe
%Application Data%\av.exe
%Application Data%\MSASCui.exe
%Application Data%\vma.exe
%Application Data%\Microsoft\Windows Defender\ave.exe
%Application Data%\Microsoft\Windows Defender\av.exe
%Application Data%\Microsoft\Windows Defender\MSASCui.exe
%Application Data%\Microsoft\Windows Defender\vma.exe
%Application Data%\avG\ave.exe
%Application Data%\avG\av.exe
%Application Data%\avG\MSASCui.exe
%Application Data%\avG\vma.exe

тогда троянец копирует свое тело под одним из этих имен (при этом файлу устанавливаются атрибуты "архивный", "скрытый" и "системный"), запускает его на исполнение, удаляет свое оригинальное тело и завершает работу.

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:

cu43yxio32zdl11

Троянец ищет окно с классом "msascui_class" и завершает процесс, принадлежащий этому окну.

Также завершает процессы со следующими именами:

firefox.exe
iexplorer.exe
MSASCui.exe

Для автоматического запуска своего тела при запуске любого исполняемого файла с расширением ".exe" троянец добавляет следующую информацию в ключи системного реестра:

[HKCU\Software\Classes\.exe]
"(default)" = "secfile"
"Content Type" = "application/x-msdownload"



[HKCU\Software\Classes\.exe\DefaultIcon]
"(default)" = "%1"



[HKCU\Software\Classes\.exe\shell\open\command]
"(default)" = "%UserProfile%\Local Settings\
Application Data\<имя файла троянца>
%" /START "%1" %*
"IsolatedCommand" = "%1" %*



[HKCU\Software\Classes\.exe\shell\runas\command]
"(default)" = "%1" %*
"IsolatedCommand" = "%1" %*



[HKCU\Software\Classes\.exe\shell\start\command]
"(default)" = "%1" %*
"IsolatedCommand" = "%1" %*



[HKCU\Software\Classes\secfile]
"(default)" = "Application"
"Content Type"="application/x-msdownload"



[HKCU\Software\Classes\secfile\DefaultIcon]
"(default)" = "%1"



[HKCU\Software\Classes\secfile\shell\open\command]
"(default)" = "%UserProfile%\Local Settings\Application Data\
<имя файла троянца>" /START "%1" %*
"IsolatedCommand" = "%1" %*



[HKCU\Software\Classes\secfile\shell\runas\command]
"(default)" = "%1" %*
"IsolatedCommand" = "%1" %*



[HKCU\Software\Classes\secfile\shell\start\command]
"(default)" = "%1" %*
"IsolatedCommand" = "%1" %*

Также модифицирует ключи системного реестра следующим образом:

[HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\
shell\open\command]
"(default)" = "%UserProfile%\Local Settings\
Application Data\<имя файла
троянца>" /START "%ProgramFiles%\Internet Explorer\iexplore.exe"

[HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\
shell\open\command]
"(default)" = "%UserProfile%\Local Settings\Application Data\
<имя файла троянца>" /START "%ProgramFiles%\Mozilla Firefox\firefox.exe"

[HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\
shell\safemode\command] "(default)" = "%UserProfile%\Local Settings\Application Data\
<имя файла троянца>"
/START "%ProgramFiles%\Mozilla Firefox\firefox.exe" -safe-mode

[HKEY_CURRENT_USER\Software\Microsoft\Windows] "Identity"=dword:6219be35

Троянец создает файлы, которые использует при выполнении:

%UserProfile%\Local Settings\Application Data\1QYGtyi5E
%Temp%\1QYGtyi5E
%AllUsersProfile%\Application Data\1QYGtyi5E

Данные файлы могут иметь размер и не являются вредоносными.

Для блокировки работы "Центра обеспечения безопасности Windows" и "Брандмауэра Windows" изменяет настройки в ключах системного реестра:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = "0"
"DoNotAllowExceptions" = "0"



[HKLM\SYSTEM\Curr

[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = "1"
"FirewallDisableNotify" = "1"
"UpdatesDisableNotify" = "1"
"AntiVirusOverride" = "1"
"FirewallOverride" = "1"

Троянец отображает следующее окно:
Имитирует работу антивирусного сканера и нахождение вредоносных программ, хотя все перечисленные файлы на компьютере пользователя отсутствуют:
После этого троянец отображает окно, где предлагается зарегистрироваться для устранения всех уязвимостей и удаления вредоносных программ:

При выборе пункта регистрации, открывает первый из доступных ресурсов:

pc-live-care.com
securitypc-care.com
pc-live-care2010.com
pc-livecare.com
security-pccare.com
pc-livecare2010.com
win-live-care.com
securitypccare.com
antivirus-one-care2010.com
winlive-care21.com
onecare-antivirus2010.com
one-care-antivirus.com
live-pc-care.com
win-live-care2010.com
windows-live-care.com
live-pccare.com
prodsupportonline.com
live-av-support.com
exclusiveavsupport.com
exclusive-avsupport.com
exclusiveav-support.com
exclusive-av-support.com
exclusiveavsupport10.com
exclusive-avsupport10.com
exclusiveantivirussupport.com
ebuntosakert.com
opasewascert.com
cavertunelo.com
lionavertunad.com
skadertubalin.com
sakertuberade.com
pondavertuga.com
acertubalino.com
tulibonerduma.com
asertubarilos.com
ufertugalion.com
tulibonerduma.com
ufertugalion.com
asertubarilos.com
asertunadovk.com

На сайте предлагается купить антивирусное решение, воспользовавшись платежными системами Visa или Maser Card и заполнив форму ввода кредитных данных:

Каждую минуту отображает различные предупреждения о сетевых атаках или о найденных вредоносных программах:
Блокирует доступ браузера к Интернет, при попытке запуска браузера отображает окно, имитирующее сообщение от сетевого экрана и снова предлагает воспользоваться антивирусным решением:

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Запустить Редактор системного реестра.
При помощи Диспетчера задач завершить троянский процесс.
```
ave.exe
av.exe
MSASCui.exe
vma.exe
```

Удалить ключи системного реестра:

[HKCU\Software\Classes\.exe]



[HKCU\Software\Classes\secfile]

Восстановить значения параметров ключей системного реестра на следующие:
[HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\
shell\open\command]
"(default)" = "%ProgramFiles%\Internet Explorer\iexplore.exe"

[HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\
shell\open\command]
"(default)" = "%ProgramFiles%\Mozilla Firefox\firefox.exe"

[HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\
shell\safemode\command]
"(default)" = "%ProgramFiles%\Mozilla Firefox\firefox.exe" -safe-mode
Удалить параметр ключа системного реестра:
```
[HKEY_CURRENT_USER\Software\Microsoft\Windows]
"Identity"=dword:6219be35
```

Удалить файлы:

%Application Data%\ave.exe
%Application Data%\av.exe
%Application Data%\MSASCui.exe
%Application Data%\vma.exe
%Application Data%\Microsoft\Windows Defender\ave.exe
%Application Data%\Microsoft\Windows Defender\av.exe
%Application Data%\Microsoft\Windows Defender\MSASCui.exe
%Application Data%\Microsoft\Windows Defender\vma.exe
%Application Data%\avG\ave.exe
%Application Data%\avG\av.exe
%Application Data%\avG\MSASCui.exe
%Application Data%\avG\vma.exe
%UserProfile%\Local Settings\Application Data\1QYGtyi5E
%Temp%\1QYGtyi5E
%AllUsersProfile%\Application Data\1QYGtyi5E

При необходимости восстановить настройки "Центра обеспечения безопасности Windows" и "Брандмауэра Windows".
Очистить каталог Temporary Internet Files:
```
%Temporary Internet Files%
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan

Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.

Другие модификации

Trojan.Win32.FraudPack.aceg

Trojan.Win32.FraudPack.akqu

Trojan.Win32.FraudPack.amqa

Trojan.Win32.FraudPack.anmu

Trojan.Win32.FraudPack.aoip

Trojan.Win32.FraudPack.aolb

Trojan.Win32.FraudPack.aopr

Другие названия

Trojan.Win32.FraudPack.aown («Лаборатория Касперского») также известен как:

Trojan: FakeAlert-WwSec.d (McAfee)
Mal/BredoZp-B (Sophos)
Troj/Bredo-BR (Sophos)
Suspect.FakeAV-zippwd (ClamAV)
Trojan.FakeAV-339 (ClamAV)
Trj/Zlob.KH (Panda)
W32/FakeAV.TZ (FPROT)
Rogue:Win32/FakeRean (MS(OneCare))
Trojan.Fakealert.14113 (DrWeb)
Win32/Adware.XPAntiSpyware.AA application (Nod32)
Trojan.Generic.KD.4529 (BitDef7)
Trojan.Kryptik.LTJ (VirusBuster)
Win32:MalOb-AL [Cryp] (AVAST)
Trojan.Win32.FakeAV (Ikarus)
FakeAlert (AVG)
Crypt.QMN (AVG)
Packed.Mystic!gen4 (NAV)
NseCheckFile2() returned 0x00010018 (Norman)
Trojan:W32/Fakexpa.BL [FSE] (FSecure)
TROJ_KRAP.SMEP (TrendMicro)
VirTool.Win32.Obfuscator.hg!a (v) (Sunbelt)
Trojan.Kryptik.LTJ (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей