Encyklopedie vstup
Aktualizováno: 4.5.2012 | Publikováno: leden 05, 2011 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 4.5.2012 | Publikováno: leden 05, 2011 Aliasy
-
Windows Attention Utility (other)
- Clean This (other)
- Peak Protection 2010 (other)
- AntiSpy Safeguard (other)
- Major Defense Kit (other)
- Pest Detector (other)
- fake Microsoft Security Essentials (other)
- ThinkPoint (other)
- Privacy Guard 2010 (other)
- Palladium Pro (other)
- Red Cross Antivirus (other)
- LizaMoon SQL injection (other)
- Windows Passport Utility (other)
- Windows Stability Center (other)
- Windows Process Regulator (other)
- Windows Expansion Center (other)
- Windows Power Expansion (other)
- Windows Simple Protector (other)
- Windows Background Protector (other)
- Windows Lowlevel Solution (other)
- Windows Support System (other)
- Windows Emergency System (other)
- Windows Efficiency Magnifier (other)
- Windows Threats Removing (other)
- Windows Remedy (other)
- Windows Trouble Remover (other)
- Windows Troublemakers Agent (other)
- Windows Servant System (other)
- Windows Defence Center (other)
- Windows Error Correction (other)
- Windows Debug System (other)
- Windows Efficiency Manager (other)
- Windows Performance Manager (other)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce poslední aktualizace: Definice: 1.125.1826.0 Vydáno: 14.května 2012 | Detekce původně vytvořeny: Definice: 1.89.417.0 Vydáno: Srpen 26, 2010 |
Shrnutí
Rogue:Win32/FakePAV je tulák, který zobrazuje zprávy, které napodobují Microsoft Security Essentialsohrožení zprávy za účelem nalákat uživatele na stahování a platit za nepoctiví bezpečnostní skener. Rogue trvale ukončí četné procesy, jako jeWindows Registry Editor, Internet Explorer, Windows Restore a další pomocné nástroje a aplikace.
Příznaky
Příznaky se liší mezi různými distribucemi Rogue:Win32/FakePAVVšak může přítomnost těchto systémových změn (nebo podobný) ukazují na přítomnost tohoto programu:
- Přítomnost těchto souborů, nebo podobné (např.):
%APPDATA%\defender.exe
%APPDATA%\hotfix.exe - Přítomnost těchto úprav registru nebo podobné (např.): V podklíče:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunNastaví hodnotu: "tmp"
Chcete-li data: "%APPDATA%\defender.exe"
V podklíč:HKCU\Software\Microsoft\Windows\CurrentVersion\RunNastaví hodnotu: "shell"
Chcete-li data: "%APPDATA%\hotfix.exe"
- Zobrazení těchto snímků / dialogy, nebo podobné (např.):
Technické informace (analýza)
Rogue:Win32/FakePAV je tulák, který zobrazuje zprávy, které napodobují Microsoft Security Essentialsohrožení zprávy za účelem nalákat uživatele na stahování a platit za nepoctiví bezpečnostní skener. Rogue trvale ukončí četné procesy, jako jeWindows Registry Editor, Internet Explorer, Windows Restore a další pomocné nástroje a aplikace.
Instalace
Rogue:Win32/FakePAV se lze setkat při procházení různých webových stránkách. Stránky mohou běžetJavaScript , která napodobuje bezpečnostní kontroly probíhají, jako je například následující:
Tento skript za zobrazování této grafiky je detekován jako Rogue:JS/FakePAV. Pokud uživatel klikne na "Start Protection"Tlačítko, stáhne falešný bezpečnostní software, který je zachycen, jak Rogue:Win32/FakePAV.
Při spuštění, Rogue:Win32/FakePAV může kopírovat sebe jako jednu z následujících akcí:
- %APPDATA%\hotfix.exe
- %APPDATA%\defender.exe
- %APPDATA%\gog.exe
Registr je upraven tak, aby spuštění tulák při každém spuštění systému Windows, například:
V podklíč: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nastaví hodnotu: "Shell"
S údaji: "%APPDATA%\hotfix.exe"
nebo
V podklíč: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nastaví hodnotu: "tmp"
S údaji: "%APPDATA%\defender.exe"
Tato složka Rogue:Win32/FakePAVneustále vyjmenovává běžící procesy. Pokud zjistí, proces, který je v následujícím seznamu, okamžitě ukončí to:
ACDaemon.exe
Acrobat.exe
Acrobat_sl.exe
AcroRd32.exe
Acrotray.exe
ACService.exe
Adobe Media Player.exe
Adobe_Updater.exe
AdobeARM.exe
AdobeUpdater.exe
aim.exe
aim6.exe
apdproxy.exe
AppleMobileDeviceHelper.exe
AppleMobileDeviceService.exe
ApplicationUpdater.exe
Babylon.exe
BabylonAgent.exe
Bandoo.exe
BandooUI.exe
BcmSqlStartupSvc.exe
BDTUpdateService.exe
bittorrent.exe
BJMyPrt.exe
CEC_MAIN.exe
chrome.exe
CLCapSvc.exe
CLMLSvc.exe
CLMSServer.exe
CLSched.exe
cmd.exe
COCIManager.exe
CSmileysIM.exe
CTsvcCDA.exe
DellVideoChat.exe
DesktopWeather.exe
DivXUpdate.exe
DVDAgent.exe
DVDLauncher.exe
EasyShare.exe
ehmsas.exe
ehRecvr.exe
ezprint.exe
firefox.exe
FlashUtil10a.exe
FlashUtil10b.exe
FlashUtil10c.exe
FlashUtil10d.exe
FlashUtil10e.exe
FlashUtil10h_ActiveX.exe
FlashUtil10i_ActiveX.exe
FrostWire.exe
gamevance32.exe
GoogleDesktop.exe
GoogleDesktopCrawl.exe
GoogleDesktopDisplay.exe
GoogleDesktopIndex.exe
GoogleToolbarInstaller_updater_signed.exe
GoogleToolbarUser.exe
GoogleUpdater.exe
ICQ Service.exe
IELowutil.exe
IEMonitor.exe
IEUser.exe
iexplore.exe
iPodService.exe
iTunes.exe
iTunesHelper.exe
iviRegMgr.exe
iWinTrusted.exe
java.exe
javaw.exe
KodakSvc.exe
lexbces.exe
LimeWire.exe
LogitechDesktopMessenger.exe
LogitechUpdate.exe
LWS.exe
mcrdsvc.exe
Monitor.exe
MSCamS32.exe
msmsgs.exe
msn.exe
msnmsgr.exe
MySpaceIM.exe
NBService.exe
NkMonitor.exe
NMBgMonitor.exe
NMIndexingService.exe
NMIndexStoreSvr.exe
onenotem.exe
ooVoo.exe
opera.exe
outlook.exe
PCMAgent.exe
pctsAuxs.exe
pctsSvc.exe
PDVDDXSrv.exe
PDVDServ.exe
PhotoshopElementsFileAgent.exe
PictureMover.exe
plugin-container.exe
PMVService.exe
prismxl.sys
qttask.exe
Quickcam.exe
Reader_sl.exe
RealPlay.exe
realsched.exe
regedit.exe
RichVideo.exe
RoxWatch9.exe
rstrui.exe
Safari.exe
SeaPort.exe
SearchProtection.exe
shellmon.exe
SiteRankTray.exe
Skype.exe
SkypeNames.exe
SkypeNames2.exe
skypePM.exe
SmoothView.exe
SoftwareUpdate.exe
sprtsvc.exe
SweetIM.exe
taskmgr.exe
tfswctrl.exe
TNaviSrv.exe
TomTomHOMERunner.exe
TomTomHOMEService.exe
traybar.exe
TVAgent.exe
TWebCamera.exe
TWebCameraSrv.exe
ULCDRSvr.exe
update.exe
uTorrent.exe
ViewMgr.exe
Weather.exe
WebcamDell.exe
WerCon.exe
winamp.exe
winampa.exe
winword.exe
wlcomm.exe
wlidsvc.exe
WLIDSvcM.exe
wmplayer.exe
wzqkpick.exe
YahooAUService.exe
YahooMessenger.exe
YMailAdvisor.exe
ymsgr_tray.exe
YouCam.exe
ZuneLauncher.exe
Acrobat.exe
Acrobat_sl.exe
AcroRd32.exe
Acrotray.exe
ACService.exe
Adobe Media Player.exe
Adobe_Updater.exe
AdobeARM.exe
AdobeUpdater.exe
aim.exe
aim6.exe
apdproxy.exe
AppleMobileDeviceHelper.exe
AppleMobileDeviceService.exe
ApplicationUpdater.exe
Babylon.exe
BabylonAgent.exe
Bandoo.exe
BandooUI.exe
BcmSqlStartupSvc.exe
BDTUpdateService.exe
bittorrent.exe
BJMyPrt.exe
CEC_MAIN.exe
chrome.exe
CLCapSvc.exe
CLMLSvc.exe
CLMSServer.exe
CLSched.exe
cmd.exe
COCIManager.exe
CSmileysIM.exe
CTsvcCDA.exe
DellVideoChat.exe
DesktopWeather.exe
DivXUpdate.exe
DVDAgent.exe
DVDLauncher.exe
EasyShare.exe
ehmsas.exe
ehRecvr.exe
ezprint.exe
firefox.exe
FlashUtil10a.exe
FlashUtil10b.exe
FlashUtil10c.exe
FlashUtil10d.exe
FlashUtil10e.exe
FlashUtil10h_ActiveX.exe
FlashUtil10i_ActiveX.exe
FrostWire.exe
gamevance32.exe
GoogleDesktop.exe
GoogleDesktopCrawl.exe
GoogleDesktopDisplay.exe
GoogleDesktopIndex.exe
GoogleToolbarInstaller_updater_signed.exe
GoogleToolbarUser.exe
GoogleUpdater.exe
ICQ Service.exe
IELowutil.exe
IEMonitor.exe
IEUser.exe
iexplore.exe
iPodService.exe
iTunes.exe
iTunesHelper.exe
iviRegMgr.exe
iWinTrusted.exe
java.exe
javaw.exe
KodakSvc.exe
lexbces.exe
LimeWire.exe
LogitechDesktopMessenger.exe
LogitechUpdate.exe
LWS.exe
mcrdsvc.exe
Monitor.exe
MSCamS32.exe
msmsgs.exe
msn.exe
msnmsgr.exe
MySpaceIM.exe
NBService.exe
NkMonitor.exe
NMBgMonitor.exe
NMIndexingService.exe
NMIndexStoreSvr.exe
onenotem.exe
ooVoo.exe
opera.exe
outlook.exe
PCMAgent.exe
pctsAuxs.exe
pctsSvc.exe
PDVDDXSrv.exe
PDVDServ.exe
PhotoshopElementsFileAgent.exe
PictureMover.exe
plugin-container.exe
PMVService.exe
prismxl.sys
qttask.exe
Quickcam.exe
Reader_sl.exe
RealPlay.exe
realsched.exe
regedit.exe
RichVideo.exe
RoxWatch9.exe
rstrui.exe
Safari.exe
SeaPort.exe
SearchProtection.exe
shellmon.exe
SiteRankTray.exe
Skype.exe
SkypeNames.exe
SkypeNames2.exe
skypePM.exe
SmoothView.exe
SoftwareUpdate.exe
sprtsvc.exe
SweetIM.exe
taskmgr.exe
tfswctrl.exe
TNaviSrv.exe
TomTomHOMERunner.exe
TomTomHOMEService.exe
traybar.exe
TVAgent.exe
TWebCamera.exe
TWebCameraSrv.exe
ULCDRSvr.exe
update.exe
uTorrent.exe
ViewMgr.exe
Weather.exe
WebcamDell.exe
WerCon.exe
winamp.exe
winampa.exe
winword.exe
wlcomm.exe
wlidsvc.exe
WLIDSvcM.exe
wmplayer.exe
wzqkpick.exe
YahooAUService.exe
YahooMessenger.exe
YMailAdvisor.exe
ymsgr_tray.exe
YouCam.exe
ZuneLauncher.exe
Rogue může zobrazit imitaci Microsoft Security Essentials Threat Report.
Pokud uživatel klepne na tlačítko "Show details"Zobrazí název programu je ukončeno:
Všimněte si, že proces je ukončen okamžitě, což znamená, že program je účinně blokován od spuštění, bez ohledu na akce, které uživatel přijal v reakci na nepoctivé na zprávy.
Pokud uživatel klepne na jeden "Clean computer"Nebo"Apply actions"Tlačítko, rogue potom zobrazí zprávu"Unable to remove threat"Jak je uvedeno níže.:
Když uživatel klikne "Scan Online"Rogue zobrazí následující dialog:
Po několika sekundách se to nahrazuje tímto:
V nepoctiví restartuje počítač. Po restartu je rogue načten místoWindows Explorer a zobrazí jeho falešné rozhraní, například "Clean This""ThinkPoint"Nebo"Windows Attention Utility", Který předstírá, že prohledá počítač a najít malware:
Pokud se pokusíte uzavřít tuláka z okna, zobrazí se zpráva:
"Current settings don't allow unprotected startup. Please check your settings."
Pokud se uživatel pokusí spustit Task Manager (Například stisknutím CTRL + ALT + Delete), Rogue okamžitě zabije proces a zobrazí se následující zpráva:
Pokud uživatel klikne na " Nastavení ", šeky"Allow unprotected startup", Pak klik"Save settings"Rogue může okno zavřené.
Jakmile tuláka Okno bylo uzavřeno, FakePAV uvádí na trh "explorer.exe", Což se zobrazí Start menu, task bar a desktop.
V jiných variantách Rogue:Win32/FakePAVPokud uživatel klepne "Scan online"Tlačítko, rogue zobrazí webovou stránku, která tvrdí, že ukazují výsledky testů z mnoha různých antivirových skenerů. Většina skenerů to seznamy jsou legitimní, ale pouze pět skenerů jsou uvedeny v detekci" hrozbu ". tlačítko označené"Free Install"Je poskytována pro každou z nich.
Tyto programy jsou příklady pět výtisků falešných skeneru tuláka je. Každý z nich má jiný název a vzhled, ale jinak jsou stejný program. Nazývají se:
- Red Cross Antivirus
- Peak Protection 2010
- Pest Detector 4.1
- Major Defense Kit
- AntiSpy Safeguard
Všechny tyto falešné skenery zobrazí průvodce instalací při spuštění, jako v následujícím příkladu:
Mohou klesnout kopii jako jeden z následujících akcí:
%APPDATA%\hotfix.exe
%APPDATA%\antispy.exe
Registr je upraven tak, aby spuštění spadl kopii při každém spuštění systému Windows v místě výchozí Windows shell "Explorer.exe":
V podklíč: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Nastavuje hodnotu: " Shell "
S údaji: "%APPDATA%\ <malware Soubor> "(například"%APPDATA%\hotfix.exe"Nebo"%APPDATA%\antispy.exe")
Po průvodce instalace hotova, restartování počítače.
Užitečná
Ukončí procesy
Rogue trvale ukončí procesy, jak je uvedeno výše.
Zobrazuje upozornění zavádějící
Když se uživatel přihlásí, zobrazí se rogue falešný skener, který tvrdí, že detekci škodlivého softwaru v počítači. Omezují se skenováním vůbec, ale zprávy, že některé soubory byly obnoveny a další již nelze obnovit.
"Palladium Pro"Varianta může také informovat uživatele o chybách v jeho pevném disku.
Pokud uživatel klepne na tlačítko "Install heuristic module"Rogue zobrazí stránku, kde si mohou koupit licenci na tuláka.
Vytvoří zástupce
Některé varianty Rogue:Win32/FakePAV může vytvořit zástupce na ploše, používat názvy souborů, jako jsou následující:
- "Clean This.lnk"
Další informace
Níže jsou uvedeny snímky obrazovky pro různé brandings na Rogue:Win32/FakePAV během Windows start.
"Clean This"
"Palladium Pro"
"ThinkPoint"
"AntiSpy Safeguard"
"Major Defense Kit"
"Pest Detector"
"Peak Protection 2010"
"Red Cross Antivirus"
Žádné komentáře:
Okomentovat