На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Hoax

Hoax.Win32.Fera.i


Rootkit:  Нет
Видимые проявления:  Заблокирован редактор реестра и диспетчер задач
Выводятся посторонние окна с сообщением о заражении ПК

Исполняемый файл зловреда имеет размер 7680 байт, сжат UPX. В случае запуска зловред скрытно выполняет следующие операции:
1. Создает копии совоего исполняемого файла под именем WINDOWS\system32\WinAvXX.exe, WINDOWS\system32\printer.exe,
2. Регистрируется в автозапуске стандартным образом (ключ RUN) и нестандартным образом (ключ Winlogon\Shell)
3. Создает свои копии в папке «Автозагрузка» всех пользователей и текущего пользователя, копии файлов называются system.exe и autorun.exe, путь к папке определяется через реестр
4. Модифицирует настройки Internet Explorer, в частности задает в качестве стартовой страницы http://www.google.com
5. Перезаписывает ассоциации файлов HTML на Internet Explorer
6. Блокирует через политики ряд функций операционной системы, в частности – диспетчер задач и редактор реестра
7. Перенастраивает встроенный Firewall, регистрируя приложение winav.exe как доверенное
8. Модифицирует файл hosts, добавляя в него порядка сотни записей, блокирующих доступ к сайтам подавляющего большинства производителей антивирусов и антишпионов (в частности, avp.ru, symantec.com, mcafee.com, microsoft.com …). Блокирует автоматическое обновление благодаря записи windowsupdate.microsoft.com и доступ к сайтам типа www.virustotal.com и www.viruslist.com
9. Выводит на экран сообщение о том, что компьютер якобы заражен шпионскими программами и предлагает загрузить антишпион (данное сообщение выводится периодически).

В случае согласия открывает в IE страничку сайта, на которой имитируется сканирование системы и обнаружения сотен вирусов с выдачей вердикта о том, что используемый антивирус не эффективен. В качестве лечения проблемы предлагается скачать антишпион. В случае согласия загружается небольшой инсталлятор, детектируемый как Downloader.Win32.WinFixer.*

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.