Trojan.Win32.FraudPack.aceg
Технические детали
Троянская
программа, выполняющая деструктивные действия на компьютере
пользователя. Является приложением Windows (PE-EXE файл). Имеет размер
1601536 байт. Написана на C++.
Деструктивная активность
Троянец
представляет собой лже-антивирус. После запуска троянец имитирует
работу антивирусной программы, отображая на экране следующие окна:
- логотип программы:
- имитация процесса сканирования файловой системы компьютера:
- вывод ложного сообщения о наличии множества вирусов:
Нажатие на область с надписью "Activate your copy" приводит к отображению окна выбора типа приобретаемой лицензии:
Далее, после нажатия на область "proceed to checkout" производится отображение формы для ввода данных кредитной карты:
В процессе своей работы троянец создает следующие ключи системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"AntiMalware" = "<полный путь к оригинальному файлу троянца> -noscan"
Это приводит к автоматическому запуску троянца при каждом следующем старте системы.
[HKLM\Software\AntiMalware]
"Settings_0" = "0"
"SecStatus_3"= "1"
"SecStatus_4" = "1"
"SecStatus_5" = "1"
"FD" = "0"
"GUID" = "598715405987049459869420"
"Data" = ":1866:1977:2088:2310:2643:2754:2865:2976:3087:3198:3531:"
"swver" = "1.0"
"dbver" = "1.0"
"dbsigns" = "61473"
Также троянец запускает системную утилиту "net.exe" со следующими параметрами:
net stop wscsvc
net start winmgmt
Это приводит к остановке службы "wscsvc", и запуску службы "winmgmt".
Кроме того, в процессе своей работы троянец загружает файлы со следующих хостов:
la***urity.cn
gu***web.cn
Загруженные файлы сохраняются в каталоге "%Temporary Internet Files%".
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на
зараженном компьютере зависит от способа, которым программа попала на
компьютер).
- Удалить ключи системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"AntiMalware" = "<полный путь к оригинальному файлу троянца> -noscan"
[HKLM\Software\AntiMalware]
"Settings_0" = "0"
"SecStatus_3"= "1"
"SecStatus_4" = "1"
"SecStatus_5" = "1"
"FD" = "0"
"GUID" = "598715405987049459869420"
"Data" = ":1866:1977:2088:2310:2643:2754:2865:2976:3087:3198:3531:"
"swver" = "1.0"
"dbver" = "1.0"
"dbsigns" = "61473"
- Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
| 
