TROJ_FAKEAV.REO

Data de publicação: 08 outubro 2012

Analisado por: Cris Nowell Pantanilla

Trojan.Win32.FakeAV.cvmr [Kaspersky] Rogue:Win32/FakeRean [Microsoft]

Plataforma:

Windows 2000, Windows XP, Windows Server 2003

Classificao do risco total:

Potencial de dano:

Potencial de distribuição:

infecção relatada:

Baixo

Medium

Alto

Crítico

Tipo de grayware:
Trojan
Destrutivo:
Não
Criptografado:
Sim
In the Wild:
Sim

Visão geral

Ändert bestimmte Registrierungseinträge, um Funktionen des Security Centers zu deaktivieren. Dadurch kann diese Malware ihre Routinen unentdeckt ausführen.

Zeigt gefälschte Warnungen vor Infektion an. Zeigt ein gefälschtes Suchergebnisse bezüglich des betroffenen Systems an. Nach Abschluss der Suche wird der Benutzer zum Kauf des Produkts aufgefordert. Wenn sich Benutzer zum Kauf des betrügerischen Produkts entschließen, werden sie auf eine Website geleitet, auf der vertrauliche Daten wie beispielsweise Kreditkartennummern erfragt werden.

Detalhes técnicos

Tipo de compactação: 238,949 bytes

Tipo de arquivo: EXE

Residente na memória: Sim

Data de recebimento das amostras iniciais: 03 maio 2011

Carga útil: Displays fake alerts, , Connects to URLs/Ips

Installation

Schleust die folgenden Dateien ein:

%Root%\Documents and Settings\All Users\Application Data\2q7661e0ieqeq22yg12g
%User Profile%\Local Settings\Application Data\2q7661e0ieqeq22yg12g
%User Profile%\Local Settings\Temp\2q7661e0ieqeq22yg12g
%User Profile%\Templates\2q7661e0ieqeq22yg12g

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

%User Profile%\Local Settings\Application Data\mcc.exe

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CLASSES_ROOT\.exe\shell

HKEY_CLASSES_ROOT\.exe\shell\
runas

HKEY_CLASSES_ROOT\exefile\shell\
open\command
IsolatedCommand = "%1" %*

HKEY_CLASSES_ROOT\exefile\shell\
runas\command
IsolatedCommand = "%1" %*

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewall = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = 1

Ändert die folgenden Registrierungseinträge:

HKEY_CLASSES_ROOT\exefile\shell\
open\command
(Default) = %User Profile%\Local Settings\Application Data\mcc.exe" -a "%1" %*

(Note: The default value data of the said registry entry is "%1" %*.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
open\command
(Default) = "%User Profile%\Local Settings\Application Data\mcc.exe" -a "%Program Files%\Mozilla Firefox\firefox.exe"

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
safemode\command
(Default) = "%User Profile%\Local Settings\Application Data\mcc.exe" -a "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode

(Note: The default value data of the said registry entry is "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = "%User Profile%\Local Settings\Application Data\mcc.exe" -a "%Program Files%\Internet Explorer\iexplore.exe"

(Note: The default value data of the said registry entry is "%Program Files%\Internet Explorer\iexplore.exe".)

Ändert die folgenden Registrierungseinträge, um Funktionen des Security Centers zu deaktivieren:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = 1