TROJ_FAKEAV.BQT

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installiert ein gefälschtes Antiviren-/Anti-Spyware-Programm. Zeigt gefälschte Warnungen vor Infektion an. Zeigt ein gefälschtes Suchergebnisse bezüglich des betroffenen Systems an. Nach Abschluss der Suche wird der Benutzer zum Kauf des Produkts aufgefordert. Wenn sich Benutzer zum Kauf des betrügerischen Produkts entschließen, werden sie auf eine Website geleitet, auf der vertrauliche Daten wie beispielsweise Kreditkartennummern erfragt werden. Wenn ein Benutzer dem Kauf der Software zustimmt, wird eine Verbindung zu einem bestimmten URL hergestellt.

Übertragungsdetails

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust folgende Komponentendateien ein:

• %Application Data%\Antivirus AntiSpyware 2011\65.mof
• %Application Data%\Antivirus AntiSpyware 2011\myhlp.chm
• %Application Data%\Antivirus AntiSpyware 2011\weexujds
• %Application Data%\Antivirus AntiSpyware 2011\weexujds\wewlrauzgds.cfg
• %Application Data%\Microsoft\Internet Explorer\Quick Launch\Antivirus AntiSpyware 2011.lnk
• %User Profile%\Desktop\Antivirus AntiSpyware 2011.lnk
• %User Profile%\Start Menu\Antivirus AntiSpyware 2011.lnk

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

• %Application Data%\Antivirus AntiSpyware 2011
• %Application Data%\Antivirus AntiSpyware 2011\weexujds

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
wewlrauzgds.cfg = "%Application Data%\Antivirus AntiSpyware 2011\AS2011.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CLASSES_ROOT\AS2011.DocHostUIHandler

HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}

HKEY_CURRENT_USER\Software\SE2010

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CLASSES_ROOT\AS2011.DocHostUIHandler
(Default) = "Implements DocHostUIHandler"

HKEY_CLASSES_ROOT\AS2011.DocHostUIHandler\Clsid
(Default) = "{3F2BBC05-40DF-11D2-9455-00104BC936FF}"

HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}
(Default) = "Implements DocHostUIHandler"

HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\
LocalServer32
(Default) = "%Application Data%\Antivirus AntiSpyware 2011\AS2011.exe"

HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\
ProgID
(Default) = "AS2011.DocHostUIHandler"

HKEY_CURRENT_USER\Software\SE2010
LastVFC = "{value}"

HKEY_CURRENT_USER\Software\SE2010
LastD = "{value}"

HKEY_CURRENT_USER\Software\SE2010
LastScan = "{date and time}"

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• accesschk.exe
• AccessEnum.exe
• acdseepro3.exe
• acdseepro4.exe
• AcroRd32.exe
• ADExplorer.exe
• ADInsight.exe
• adrestore.exe
• AdvancedDVDPlayer.exe
• aim.exe
• arp.exe
• at.exe
• Autologon.exe
• autoruns.exe
• autorunsc.exe
• Bginfo.exe
• bitcomet.exe
• bitspirit.exe
• bittorrent.exe
• Cacheset.exe
• calc.exe
• chrome.exe
• Clockres.exe
• CloneCD.exe
• cmd.exe
• cmdkey.exe
• computerdefaults.exe
• conhost.exe
• Contig.exe
• control.exe
• Coreinfo.exe
• ctrl2cap.exe
• Dbgview.exe
• defragui.exe
• Desktops.exe
• DevicePairingWizard.exe
• digitaleditions.exe
• disk2vhd.exe
• diskext.exe
• Diskmon.exe
• DiskView.exe
• dmaster.exe
• du.exe
• dxdiag.exe
• efsdump.exe
• eventvwr.exe
• excel.exe
• far.exe
• fdm.exe
• find.exe
• flashget.exe
• freecell.exe
• ftp.exe
• FullTiltPoker.exe
• GOM.exe
• GoogleEarth.exe
• handle.exe
• help.exe
• hex2dec.exe
• hrtzzm.exe
• Icq.exe
• Illustrator.exe
• infium.exe
• ipconfig.exe
• isoburn.exe
• journal.exe
• junction.exe
• LA.exe
• ldmdump.exe
• Listdlls.exe
• livekd.exe
• LoadOrd.exe
• logonsessions.exe
• miranda32.exe
• mirandaim.exe
• mmc.exe
• movefile.exe
• moviemk.exe
• mplay32.exe
• mplayer2.exe
• mplayerc.exe
• msaccess.exe
• msconfig.exe
• mshearts.exe
• msiexec.exe
• msmsgs.exe
• MsnMsgr.Exe
• mspaint.exe
• mspub.exe
• MSWorks.exe
• Nero.exe
• NeroExpressPortable.exe
• netsh.exe
• netstat.exe
• nfs.exe
• notepad.exe
• nslookup.exe
• ntfsinfo.exe
• OIS.exe
• outlook.exe
• pagedfrg.exe
• pendmoves.exe
• Photoshop.exe
• picasaphotoviewer.exe
• pinball.exe
• ping.exe
• pipelist.exe
• PokerStars.exe
• portmon.exe
• powercfg.exe
• PowerDVD.exe
• powerpnt.exe
• POWERPOI.exe
• powershell.exe
• procdump.exe
• procexp.exe
• procexp64.exe
• ProcFeatures.exe
• psexec.exe
• psfile.exe
• psgetsid.exe
• Psinfo.exe
• pskill.exe
• pslist.exe
• psloggedon.exe
• psloglist.exe
• pspasswd.exe
• psservice.exe
• psshutdown.exe
• pssuspend.exe
• qip2010.exe
• QuickTimePlayer.exe
• realplay.exe
• RealPlayer.exe
• RecordingManager.exe
• reg.exe
• RegCloneCD.exe
• RegDelNull.exe
• regedit.exe
• regedt32.exe
• reget.exe
• regetdx.exe
• regjump.exe
• resmon.exe
• RootkitRevealer.exe
• route.exe
• rstrui.exe
• RwcRun.exe
• RWipeRun.exe
• sdelete.exe
• setup_wm.exe
• ShareEnum.exe
• ShellRunas.exe
• shvlzm.exe
• sidebar.exe
• sigcheck.exe
• Skype.exe
• skypePM.exe
• sndvol32.exe
• sol.exe
• spider.exe
• streams.exe
• strings.exe
• sync.exe
• taskhost.exe
• taskkill.exe
• tasklist.exe
• taskmgr.exe
• tcpvcon.exe
• Tcpview.exe
• telnet.exe
• thebat.exe
• totalcmd.exe
• tracert.exe
• trillian.exe
• tvp.exe
• utorrent.exe
• vmmap.exe
• vmware.exe
• Volumeid.exe
• whois.exe
• winamp.exe
• WindowsAnytimeUpgradeUI.exe
• windvd.exe
• winmail.exe
• winmine.exe
• Winobj.exe
• WinRAR.exe
• WINWORD.exe
• wmplayer.exe
• word.exe
• wow.exe
• wscript.exe
• wupdmgr.exe
• ypager.exe
• ZoomIt.exe

Rogue-Antiviren-Routine

Zeigt die folgenden gefälschten Warnmeldungen an:

Installiert ein gefälschtes Antiviren-/Anti-Spyware-Programm.

Zeigt gefälschte Warnungen vor Infektion an. Zeigt ein gefälschtes Suchergebnisse bezüglich des betroffenen Systems an. Nach Abschluss der Suche wird der Benutzer zum Kauf des Produkts aufgefordert. Wenn sich Benutzer zum Kauf des betrügerischen Produkts entschließen, werden sie auf eine Website geleitet, auf der vertrauliche Daten wie beispielsweise Kreditkartennummern erfragt werden.

Wenn ein Benutzer dem Kauf der Software zustimmt, wird eine Verbindung zu folgendem URL hergestellt, um den Kauf fortzusetzen:

• http://{BLOCKED}ftwaresecurity.com