Modificado por: : Sabrina Lei Sioting
 

Trojan.Win32.FakeAV.lbvr [Kaspersky]; FakeAlert-SecurityTool.ea [McAfee]; Rogue:Win32/Winwebsec [Microsoft];

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Zeigt gefälschte Warnungen vor Infektion an. Zeigt ein gefälschtes Suchergebnisse bezüglich des betroffenen Systems an. Nach Abschluss der Suche wird der Benutzer zum Kauf des Produkts aufgefordert. Wenn sich Benutzer zum Kauf des betrügerischen Produkts entschließen, werden sie auf eine Website geleitet, auf der vertrauliche Daten wie beispielsweise Kreditkartennummern erfragt werden.

  Detalhes técnicos

Tipo de compactação: 368,640 bytes
Tipo de arquivo: EXE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 07 março 2012

Installation

Schleust die folgenden Dateien ein:

  • %System Root%\Documents and Settings\All Users\Application Data\{random}\{random} - encypted component
  • %User Desktop%\Smart Fortress 2012.lnk - shortcut file
  • %Start Menu%\Programs\Smart Fortress 2012\Smart Fortress 2012.lnk - shortcut file

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Start Menu% ist der Ordner 'Startmenü' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü unter Windows NT und C:\Windows\Startmenü oder C:\Dokumente und Einstellungen\{Benutzername}\Startmenü unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System Root%\Documents and Settings\All Users\Application Data\{random}\{random}.exe

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Erstellt die folgenden Ordner:

  • %System Root%\Documents and Settings\All Users\Application Data\{random}
  • %Start Menu%\Programs\Smart Fortress 2012

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %Start Menu% ist der Ordner 'Startmenü' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü unter Windows NT und C:\Windows\Startmenü oder C:\Dokumente und Einstellungen\{Benutzername}\Startmenü unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CLASSES_ROOT\%s

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Smart Fortress 2012

HKEY_CLASSES_ROOT\{first 5 characters of malware filename}

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CLASSES_ROOT\{first 5 characters of malware filename}\shell\
open\command
@ = "%System Root%\Documents and Settings\All Users\Application Data\{random}\{random}.exe" -s "%1" %*

Ändert die folgenden Registrierungseinträge:

HKEY_CLASSES_ROOT\.exe
@ = "{first 5 characters of malware filename}"

(Note: The default value data of the said registry entry is exefile.)

Rogue-Antiviren-Routine

Zeigt gefälschte Warnungen vor Infektion an. Zeigt ein gefälschtes Suchergebnisse bezüglich des betroffenen Systems an. Nach Abschluss der Suche wird der Benutzer zum Kauf des Produkts aufgefordert. Wenn sich Benutzer zum Kauf des betrügerischen Produkts entschließen, werden sie auf eine Website geleitet, auf der vertrauliche Daten wie beispielsweise Kreditkartennummern erfragt werden.