15.03.2008
FraudTool.Win32.UltimateDefender.cm
На момент составления описания известно 10 разновидностей данного зловреда, размер варьируется от 58 до 65 кб, дата первого обнаружения ITW образца 4.03.2008. Сама вредоносная программа является дроппером, который в случае запуска создает на диске C:\WINDOWS\system32\dllcache\figaro.sys. Затем он копирует figaro.sys поверх существующего C:\WINDOWS\drivers\beep.sys, причем повторяет эту операцию три раза подряд (в том числе создавая копию в \dllcache).
После этого он создает на диске C:\WINDOWS\system32\braviax.exe, и прописывает его в автозапуск в ключе Windows\CurrentVersion\Run.
Затем он запрашивает системную привилегию SeShutdownPrivilege и при помощи системной функции ExitWindowsEx завершает работу системы. Далее он создает файл с именем delself.bat для самоуничтожение, запускает его и завершает работу (предполагается, что завершение работы потребует несколько секунд и BAT файл успеет отработать и стереть дроппер).
Дропнутый файл BEEP.SYS имеет размер около 35 кб, отвечает за противодействие антивирусам и антивирусным утилитам. Блокировка по именам, в коде драйвера открытым текстом содержится база с именами файлов (в частности, он блокирует AVP, AVZ, GMER, GureIT, AVG ...).
Удаление: так как блокировка идет по именам, то достаточно переименовать исполняемый файл AVZ скажем в 123.com. Симптомом является тот факт, что AVZ не опознает драйвер beep.sys по базе безопасных.