На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / FraudTool

FraudTool.Win32.Reanimator.a


16.03.2008

FraudTool.Win32.Reanimator.a

Исполняемый файл является загрузчиком, написан на Delphi, размер - 308 кб, на текущий момент известно 8 разновидностей. Устанавливает программу-обманку, которая являясь якобы антивирусом находит массу несуществующих угроз и предлагает вылечить их за деньги.

В случае запуска:
1.Может выдать окно, якобы сообщение об ошибке. Другие варианты выводят окно с прогресс-индикатором, показывающим процесс загрузки и установки
2. Обращается к сайту www.winreanimator.com и загружает с него несколько ZIP архивов
3. Создает папку C:\Program Files\WinReanimator, дропает в нее библиотеку unzip32.dll, загружает ее и применяет для распаковки загруженных архивов. Далее в папке WinReanimator создаются файлы WinReanimator.exe, WinReanimator.dll, pthreadVC2.dll, un.ico, install.exe, htmlayout.dll, папки Microsoft.VC80.CRT (с библиотеками MS msvcm80.dll, msvcp80.dll, msvcr80.dll) и папка DATA, в которой находится файл, судя по сигнатурам похожий на урезнанную базу от CLAM Antivirus. install.exe - это копия загрузчика зловреда
4. WinReanimator.exe прописывается в автозапуск
Созданный загрузчиком на диске WinReanimator после установки запускается, "сканирует" систему. На эталонной системе Windows XP SP2 он "находит" 28 шпионских объектов, причем показывает в логе имена заведомо несуществующих в системе объектов. Для "лечения" необходимо купить программу ... За счет автозапуска процесс "сканирования" повторяется при каждой загрузке. При закрытии WinReanimator сворачивается в трей. У зловреда как правило есть действующий деинсталлятор





Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.