TROJ_FAKEAV.SMVV
Rogue:Win32/Winwebsec (Microsoft), Trojan-FakeAV.Win32.Agent.rph (Kaspersky), Trojan.Gen (Symantec), PWS-Zbot.gen.akj (NAI), Mal/FakeAV-KL (Sophos), Trojan.Win32.Generic!BT (Sunbelt), Trojan.Generic.KD.694336 (Bitdefender), W32/Agent.KL!tr (Fortinet), Trojan.Win32.FakeAV (Ikarus), a variant of Win32/Kryptik.AJZF trojan (NOD32), Trojan W32/FakeAV.BGDR (Norman)
Windows 2000, Windows XP, Windows Server 2003
Malware-Typ:
Trojan
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Wird möglicherweise manuell von einem Benutzer installiert.
Zeigt Benutzern gefälschte Warnmeldungen über eine Infektion an. Zeigt außerdem gefälschte Scanergebnisse des betroffenen Systems an. Nach Abschluss der Überprüfung werden die Benutzer aufgefordert, die Betrügersoftware zu kaufen. Wenn Benutzer sich zum Kauf der Betrügersoftware entscheiden, werden sie zu einer Website weitergeleitet, auf der sie nach sensiblen Daten gefragt werden, beispielsweise nach der Kreditkartennummer.
Technische Details
Übertragungsdetails
Wird möglicherweise manuell von einem Benutzer installiert.
Installation
Schleust eine Kopie von sich selbst in folgende Ordner ein, wobei verschiedene Dateinamen verwendet werden:
- %System Root%\Documents and Settings\All Users\Application Data\6F638C1200771EBE0009A1AE7B07D287\6F638C1200771EBE0009A1AE7B07D287.exe
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Schleust folgende Komponentendateien ein:
- %System Root%\Documents and Settings\All Users\Application Data\6F638C1200771EBE0009A1AE7B07D287\6F638C1200771EBE0009A1AE7B07D287.ico
- %User Profile%\Desktop\Live Security Platinum.lnk
- %Start Menu%\Programs\Live Security Platinum\Live Security Platinum.lnk
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Start Menu% ist der Ordner 'Startmenü' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü unter Windows NT und C:\Windows\Startmenü oder C:\Dokumente und Einstellungen\{Benutzername}\Startmenü unter Windows 2000, XP und Server 2003.)
Erstellt die folgenden Ordner:
- %System Root%\Documents and Settings\All Users\Application Data\6F638C1200771EBE0009A1AE7B07D287
- %System Root%\Documents and Settings\All Users\Application Data\6F638C1200771EBE0009A1AE7B07D287\6F638C1200771EBE0009A1AE7B07D287
- %User Profile%\Application Data\Microsoft\Protect\S-1-5-21-1614895754-436374069-682003330-1003\1cc9ebfa-cf99-4554-8a6f-085f28fd928a
- %Start Menu%\Programs\Live Security Platinum
- System%\Microsoft\Protect\S-1-5-18\User\7bfca1b5-23cc-482b-8834-2e3c17172dd9
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Start Menu% ist der Ordner 'Startmenü' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü unter Windows NT und C:\Windows\Startmenü oder C:\Dokumente und Einstellungen\{Benutzername}\Startmenü unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Fügt die folgenden Zeilen oder Registrierungseinträge als Teil der eigenen Installationsroutine hinzu:
- HKEY_CURRENT_USER\Software\Microsoft\Installer\Products\6F638C5A00771F060009A1F67B07D2CF
Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
6F638C1200771EBE0009A1AE7B07D287 = %System Root%\Documents and Settings\All Users\Application Data\6F638C1200771EBE0009A1AE7B07D287\6F638C1200771EBE0009A1AE7B07D287.exe
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Live Security Platinum
DisplayName = Live Security Platinum
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Live Security Platinum
UninstallString = %System Root%\Documents and Settings\All Users\Application Data\6F638C1200771EBE0009A1AE7B07D287\6F638C1200771EBE0009A1AE7B07D287.exe -u
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Live Security Platinum
ShortcutPath = %System Root%\Documents and Settings\All Users\Application Data\6F638C1200771EBE0009A1AE7B07D287\6F638C1200771EBE0009A1AE7B07D287.exe -u
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Live Security Platinum
DisplayIcon = %System Root%\Documents and Settings\All Users\Application Data\6F638C1200771EBE0009A1AE7B07D287\6F638C1200771EBE0009A1AE7B07D287.ico,0
Rogue-Antiviren-Routine
Zeigt Benutzern gefälschte Warnmeldungen über eine Infektion an. Zeigt außerdem gefälschte Scanergebnisse des betroffenen Systems an. Nach Abschluss der Überprüfung werden die Benutzer aufgefordert, die Betrügersoftware zu kaufen. Wenn Benutzer sich zum Kauf der Betrügersoftware entscheiden, werden sie zur folgenden Website weitergeleitet und nach sensiblen Daten gefragt, beispielsweise nach der Kreditkartennummer:
- Live Security Platinum