TROJ_FAKEAV.REO
Trojan.Win32.FakeAV.cvmr [Kaspersky] Rogue:Win32/FakeRean [Microsoft]
Windows 2000, Windows XP, Windows Server 2003
Malware-Typ:
Trojan
Zerstrerisch?:
Nein
Verschlsselt?:
Ja
In the wild::
Ja
Überblick
Ändert bestimmte Registrierungseinträge, um Funktionen des Security Centers zu deaktivieren. Dadurch kann diese Malware ihre Routinen unentdeckt ausführen.
Zeigt gefälschte Warnungen vor Infektion an. Zeigt ein gefälschtes Suchergebnisse bezüglich des betroffenen Systems an. Nach Abschluss der Suche wird der Benutzer zum Kauf des Produkts aufgefordert. Wenn sich Benutzer zum Kauf des betrügerischen Produkts entschließen, werden sie auf eine Website geleitet, auf der vertrauliche Daten wie beispielsweise Kreditkartennummern erfragt werden.
Technische Details
Installation
Schleust die folgenden Dateien ein:
- %Root%\Documents and Settings\All Users\Application Data\2q7661e0ieqeq22yg12g
- %User Profile%\Local Settings\Application Data\2q7661e0ieqeq22yg12g
- %User Profile%\Local Settings\Temp\2q7661e0ieqeq22yg12g
- %User Profile%\Templates\2q7661e0ieqeq22yg12g
(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %User Profile%\Local Settings\Application Data\mcc.exe
(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_CLASSES_ROOT\.exe\shell
HKEY_CLASSES_ROOT\.exe\shell\
runas
HKEY_CLASSES_ROOT\exefile\shell\
open\command
IsolatedCommand = "%1" %*
HKEY_CLASSES_ROOT\exefile\shell\
runas\command
IsolatedCommand = "%1" %*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewall = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = 1
Ändert die folgenden Registrierungseinträge:
HKEY_CLASSES_ROOT\exefile\shell\
open\command
(Default) = %User Profile%\Local Settings\Application Data\mcc.exe" -a "%1" %*
(Note: The default value data of the said registry entry is "%1" %*.)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
open\command
(Default) = "%User Profile%\Local Settings\Application Data\mcc.exe" -a "%Program Files%\Mozilla Firefox\firefox.exe"
(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe.)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
safemode\command
(Default) = "%User Profile%\Local Settings\Application Data\mcc.exe" -a "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode
(Note: The default value data of the said registry entry is "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode.)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = "%User Profile%\Local Settings\Application Data\mcc.exe" -a "%Program Files%\Internet Explorer\iexplore.exe"
(Note: The default value data of the said registry entry is "%Program Files%\Internet Explorer\iexplore.exe".)
Ändert die folgenden Registrierungseinträge, um Funktionen des Security Centers zu deaktivieren:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = 1
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = 1
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = 1
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1
(Note: The default value data of the said registry entry is 0.)
Löscht die folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Rogue-Antiviren-Routine
Zeigt gefälschte Warnungen vor Infektion an. Zeigt ein gefälschtes Suchergebnisse bezüglich des betroffenen Systems an. Nach Abschluss der Suche wird der Benutzer zum Kauf des Produkts aufgefordert. Wenn sich Benutzer zum Kauf des betrügerischen Produkts entschließen, werden sie auf eine Website geleitet, auf der vertrauliche Daten wie beispielsweise Kreditkartennummern erfragt werden.