Trojan.Win32.FraudPack.akqu - 1 Марта 2010 - Вирусам и мошенничеству нет!

Меню сайта

Категории новостей

Новости от Касперского [158]

Новости [290]

Новости железа [224]

Закон о защите персональных данных [1]

Гороскопы

Мини-чат

Наш опрос

Статистика

Онлайн всего: 1

Гостей: 1

Пользователей: 0

Главная » » Trojan.Win32.FraudPack.akqu

00:15

Trojan.Win32.FraudPack.akqu

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 1328640 байт. Написана на C++.

Инсталляция

После запуска троянец перемещает свое тело в файл:

%Program Files%\InternetSecurity2010\IS2010.exe

Для идентификации своего присутствия в системе троянец создает следующие ключи системного реестра:

[HKCU\Software\IS2010]
"LastVFC" = "25"
"VirList"
= "55|41|17|26|33|52|28|10|40|9|39|52|37|12|8|36|44|56|23
|36|34|15|15|41|1|55" "LastD" = "1"

Для автоматического запуска своего оригинального файла при каждом следующем старте системы троянец создает следующий ключ системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Internet Security 2010" = "%Program Files%\InternetSecurity2010
\IS2010.exe"

Кроме того, троянец создает ярлыки:

%USERPROFILE%\Start Menu\Internet Security 2010.lnk
%USERPROFILE%\Desktop\Internet Security 2010.lnk
%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick
Launch\Internet Security 2010.lnk

Все ярлыки указывают на файл:

%Program Files%\InternetSecurity2010\IS2010.exe

Далее троянец запускает на выполнение файл "IS2010.exe" и завершает свою работу.

Деструктивная активность

Троянец представляет собой лже-антивирус. После запуска троянец имитирует работу антивирусной программы, отображая на экране следующие окна:

логотип программы:
имитация процесса сканирования файловой системы компьютера:
вывод ложного сообщения о наличии множества вирусов:

При нажатии на кнопку "Fix my computer" отображается окно ввода ключа активации лже-антивирусной программы:

а также в установленном по умолчанию браузере открывается ссылка:

http://bu***ty10.com/buy/?code=00000000

На данном сайте производится ввод данных для покупки лицензии:

При попытке включения отключенных функций лже-антивируса, также производится запуск рассмотренного процесса активации:

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи Диспетчера задач завершить процесс "IS2010.exe".
Удалить файлы:
%Program Files%\InternetSecurity2010\IS2010.exe
%USERPROFILE%\Start Menu\Internet Security 2010.lnk
%USERPROFILE%\Desktop\Internet Security 2010.lnk
%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick
Launch\Internet Security 2010.lnk
Удалить ключи системного реестра (как работать с реестром?):
[HKCU\Software\IS2010]
"LastVFC" = "25"
"VirList"
= "55|41|17|26|33|52|28|10|40|9|39|52|37|12|8|36|
44|56|23|36|34|15|15|41|1|55" "LastD" = "1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Internet Security 2010" = "%Program Files%\InternetSecurity2010\IS2010.exe"
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).