PWS:Win32/Fareit

Encyklopedický vstup
Aktualizováno: 27.února 2012  |  Publikováno: Duben 30, 2011 Aliasy

W32/Suspicious_Gen2.LQDGT (Norman)
• Trojan.Agent2!ChXpWmXSFdU (VirusBuster)
• Trojan horse PSW.Agent.AMDQ (AVG)
• TR/Spy.36352.84 (Avira)
• Trojan.Heur.DP.cCW@ayhvbjo (BitDefender)
• Trojan.Packed.21594 (Dr.Web)
• Trojan.Win32.Agent2.dlvm (Kaspersky)
• Trj/Lukicsel.A (Panda)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce poslední aktualizace: Definice: 1.127.250.0 Vydáno: 18.května 2012

Detekce původně vytvořeny: Definice: 1.111.1396.0 Vydáno: 03.09.2011

---

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

---

 

Shrnutí

PWS:Win32/Fareit je rodina trojských koní, které krade citlivé informace z postižené počítači uživatele a odešle ji na vzdálený útočník.

Top

---

 

Příznaky

Systémové změny

Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:

• Přítomnost těchto souborů:
  
  %ProgramFiles%/lp/<čtyři hexadecimální číslice>/<number>.tmp
  %AppData%\dwme.exe and %temp%\dwme.exe%AppData%\svhostu.exe and %temp%\svhostu.exe
  %temp%\Client Hash
  
• Přítomnost těchto registru změnami: V podklíč:
  
  HKCU\Software\WinRAR
  Nastaví hodnotu: "HWID"
  Vzhledem k objemu dat: <GUID>

Top

---

 

Technické informace (analýza)

PWS:Win32/Fareit je rodina trojských koní, které krade citlivé informace z postižené počítači uživatele a odešle ji na vzdálený útočník.

Instalace

PWS:Win32/Fareit je obvykle instalovány na konkrétní místa jiným malwarem, a běží z tohoto umístění.

Například, Backdoor:Win32/Cycbot nainstaluje do %ProgramFiles%/lp/<čtyři hexadecimální číslice>/<number>.tmp (Například%ProgramFiles%\lp\008a\7.tmp), Zatímco Rogue:Win32/FakeScanti nainstaluje do %AppData%\dwme.exe and %temp%\dwme.exeNebo%AppData%\svhostu.exe and %temp%\svhostu.exe.

Při spuštění se vytvoří položku registru jako jsou například následující:

V podklíč: HKCU\Software\WinRAR
Nastaví hodnotu: "HWID"
S údaje: <GUID> (například{FF72229E-611D-4FD5-A025-00C933DAA429})

To může také ukládat informace do hodnoty registru HKCU\Software\WinRAR\Client Hash, Nebo v následujícím souboru:

%temp%\Client Hash

Některé varianty odstranit sami poté, co byl ukončen.

Užitečná

Krade citlivé informace

Malware se pokusí načíst uložené webové stránky hesla z prohlížečů, včetně Chrome, Firefox, Internet Explorer, A Opera.

Zákon se také pokouší ukrást uložené informace o účtu, jako jsou názvy serverů a čísel portů přihlášení IDs a hesla z následujících FTP Klienti nebo programy oblačnosti skladování, jsou-li nainstalován:

• 32bit FTP
• 3D FTP
• ALFTP
• BitKinex
• Blaze FTP
• BulletProof FTP
• ClassicFTP
• Coffee Cup FTP
• Core FTP
• CuteFTP
• Direct FTP
• Easy FTP
• ExpanDrive
• FFFTP
• FTP++
• FTP Client
• FTP Control
• FTP Explorer
• FTP Navigator
• FTP Now
• FTP Rush
• FTPCommander
• FTP Voyager
• Far FTP
• FileZilla
• FlashFxp
• FlingFTP
• Free FTP
• Frigate FTP
• LeapFTP
• Leech FTP
• NetDrvie
• Opus
• Robo FTP
• SecureFX
• SmartFTP
• Total Commander
• TurboFTP
• UltraFXP
• WS_FTP
• Web Site Publisher
• WebDrive
• WinSCP
• Windows Commander
• Wise-FTP by AceBit

To pak všechny příspěvky této informace na vzdálený server. Příklady serverů kontaktován malware
patří:

• 178.17.165.42
• 178.18.243.211
• 178.238.228.86
• 46.108.225.50
• 46.28.107.13
• 95.143.35.118
• bingtobing.com
• domnewsweetnew12312d.ru
• fnijatodn.cz.cc
• fokanal.cz.cc
• f<removed>kingav.com
• f<removed>kingavast.com
• gointopka.com
• klamur.co.cc
• onlinetumb.com
• ourdatatransfers.com
• piwalyzocyluz.com
• repo-sys-online.com
• retrydomain.com
• safaldi.com
• sceihfub.cz.cc
• sumatevebat.com
• teleinero.com
• TRANSERSDATAFORME.COM
• winusing.com

Ke stažení a vykonává libovolné soubory

Některé vzorky PWS:Win32/Fareit byly pozorovány stažení další soubor, uložit jej na %temp%adresáře, a pak ji spuštěním. V době publikování, tyto soubory byly variantyPWS:Win32/Zbot.