Encyklopedický vstup
Aktualizováno: 24.ledna 2012 | Vydáno: 17. května 2011 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 24.ledna 2012 | Vydáno: 17. května 2011 Aliasy
-
Security Central (other)
- Antimalware Tool (other)
- Antivirus Center (other)
- Antivirus Pro (other)
- Internet Defender (other)
- Internet Protection (other)
- Security Defender 2011 (other)
- System Defender (other)
- Trojan.Win32.FakeAV.atuz (Kaspersky)
- W32/FakeAlert.CJWW (Norman)
- FakeAV.KKM (AVG)
- TROJ_FAKEALER.FR (Trend Micro)
- TR/FakeAV.atuz (Avira)
- Trojan.FakeAV (Ikarus)
- Trojan.Downloader.NSIS.FakeAlert.C (BitDefender)
- FakeAlert.a (McAfee)
- Security Center (other)
- Security Defender (other)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce poslední aktualizace: Definice: 1.127.470.0 Vydáno: 23.května 2012 | Detekce původně vytvořeny: Definice: 1.97.1671.0 Vydáno: Feb 14, 2011 |
Shrnutí
Rogue:Win32/Defmid je trojan, který napodobuje výstrahy zabezpečení a zobrazí zprávy se žádostí o uživatele ke koupi tulák opravit "odhalených" problémy, které ve skutečnosti neexistují.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
- Přítomnost těchto souborů:
% ProgramFiles% \ System ochránce \ System Defender.dll - Přítomnost následující položku v seznamu výjimek brány firewall systému Windows seznam:
System Defender
Antivirus Center
Internetová ochrana
Internet Defender 2011
Security 2011 Defender
Antivirus Pro - Přítomnost ikona na ploše jmenoval jeden z výše uvedených
- Při spuštění malwaru, zobrazí rozhraní podobné následující:
- Malware se zobrazí falešných poplachů podobat následující:
- Zobrazení popup zprávy v systémové liště podobná následující:
Technické informace (analýza)
Rogue:Win32/Defmid je falešná bezpečnostní skener, který tvrdí, že skenování malware a zobrazí falešné varování před malware infekce na oslabenou počítače.
Win32/Defmid může zcela sám pomocí jmen, jako jsou následující:
- Centrum zabezpečení
- Internetová ochrana
- Internet Defender 2011
- Bezpečnostní Defender 2011
- Systém Defender
- Antivirus Center
- Antivirus Pro
- Antivirus Center
- Antimalware nástrojů
Instalace
Rogue:Win32/Defmid se skládá z mnoha různých komponentů, a podle toho, která složka je proveden, může vykazovat odlišné chování při jejím provádění.
Některé komponenty spustitelné stáhnout DLL složku, která obsahuje všechny užitečné zatížení, zatímco jiní pokles DLL komponentu místo. Po spuštění mohou zobrazí dialog, jak je uvedeno níže:
Po spuštění Win32/Defmid vytvoří složku v%% ProgramFiles složky se stejným názvem jako značky a soubory ke stažení nebo klesne DLL soubor v tomto umístění, například:
- % ProgramFiles% \ System Defender \ System Defender.dll
Win32/Defmid také vytváří kopii DLL souboru v%% AppData složky pomocí náhodně vygenerovaný název souboru s příponou AVI souboru, stejně jako ikonu souboru a datový soubor se stejnými názvy, například:
- % AppData% \ acd7b3b0-0416-47b1-B750-a22630cb6e60_39.avi
- % AppData% \ acd7b3b0-0416-47b1-B750-a22630cb6e60_39.ico
- % AppData% \ acd7b3b0-0416-47b1-B750-a22630cb6e60_.mkv
Kopie knihovny DLL je také v%% TEMP složky pomocí názvu souboru ve formátu "WRK <random_number> týden tmp", například "wrk1.tmp".
To také vytvoří následující úpravu registru tak, aby se snížil DLL ve složce Application Data vykonán při každém spuštění systému Windows:
V podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Nastavuje hodnotu: "<random name>"
S údaji:. "<system Folder> \ rundll32.exe"% AppData% \ <random name> avi ""
Poznámka: <system folder> odkazuje na variabilní umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro systémové složky pro Windows 2000 a NT je C: \ Winnt \ System32 a pro XP, Vista a 7 je C: \ Windows \ System32.
Například:
V podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Nastavuje hodnotu: "acd7b3b0-0416-47b1-B750-a22630cb6e60_39"
S údaji: "<system folder> \ rundll32.exe"% AppData% \ acd7b3b0-0416-47b1-B750-a22630cb6e60_39.avi ""
Win32/Defmid také vytvoří zástupce "%% ProgramFiles \ System Defender \ System Defender.dll" na ploše:
Užitečná
Zobrazí falešná / klamavá malwaru upozornění
Pokud varianta Rogue:Win32/Defmid spuštěn, zobrazí rozhraní, které předstírá, skenování systému pro malware, podobně jako na jednu z následujících akcí:
To pak zobrazí následující rozhraní, prohlašovat, že počet malware infekcí byly zjištěny v počítači:
Pokud uživatel pracuje s rozhraním, může Defmid zobrazení zprávy níže, nutit uživatele ke koupi a aktivaci falešný skener:
Win32/Defmid zobrazí několik dialogových oken periodicky, jako jsou uvedeny níže:
Win32/Defmid také zobrazuje počet záznamů v systémové liště pravidelně, jako je níže:
Win32/Defmid také přidává se k Centru zabezpečení systému Windows, jak je uvedeno níže:
Win32/Defmid může také pravidelně zobrazovat falešné varovná hlášení v prohlížeči uživatele, jsou-li otevření webové stránky, jak je uvedeno níže:
Ke stažení a vykonává libovolné soubory
Jak je popsáno v instalačním oddílu, stahování součástí Rogue:Win32/DefmidKontakty určité domény ke stažení DLL komponenty. Různé verze Rogue byly pozorovány kontaktovat oblastech, jako jsou uvedeny níže:
- croll.co.be
- lgehlecen.cz.co
- thmonosh.cz.cc
- cech.cz.cc
- nowlong.cz.cc
- koehnle.cz.cc
- jongworth.cz.cc
- wmogo.cz.cc
- lefoce.cz.cc
- hgecelm.cz.cc
Upraví nastavení počítače
Rogue:Win32/Defmid přidá se do seznamu aplikací, které jsou oprávněny k přístupu na internet, aniž by zastavil Windows Firewall, tím, že v registru následující úpravy:
V podklíč:
Nastaví hodnotu: "<system folder> \ rundll32.exe"
S údaji: "<system folder> \ rundll32.exe *: Enabled: Systém ochránce"
Žádné komentáře:
Okomentovat