Bezpečné PC: Rogue:Win32/FakeVimes

Encyklopedický vstup
Aktualizováno: 17.dubna 2011 | Zveřejněno: Srpen 18, 2010 Aliasy

FakeAlert-CQ

McAfee

Extra Antivirus (other)
Ultra Antivirus 2009 (other)
Malware Catcher 2009 (other)
Virus Melt (other)
Windows PC Defender (other)
Live PC Care (other)
Security Antivirus (other)
Cleanup Antivirus (other)
My Security Wall (other)
Security Guard (other)
My Security Engine (other)
Paladin Antivirus (other)
Security Master AV (other)
My Security Shield (other)
Smart Engine (other)
Best Malware Protection (other)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce poslední aktualizace:
Definice: 1.125.1799.0
Vydáno: 14.května 2012

Detekce původně vytvořeny:
Definice: 1.57.39.0
Vydáno: 21.dubna 2009

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

Shrnutí

Rogue:Win32/FakeVimes je řada programů, které tvrdí, skenování na malware a zobrazí falešné varování před "škodlivými programy a viry". Oni pak informuje uživatele, že potřebují zaplatit peníze na registraci software s cílem odstranit tyto neexistující hrozby.

Zvláštní poznámka:
Zprávy o Rogue antivirového programu byly častější v poslední době. Jedná se o programy, které generují zavádějící a falešná upozornění detekci s cílem přesvědčit uživatele ke koupi nelegitimní bezpečnostní software. Některé z těchto programů může zobrazit názvy produktů nebo loga do zdánlivě protiprávní pokus vydávat se produktů společnosti Microsoft.

Pro detekci a odstranění této hrozby a další škodlivý software, který může být v počítači nainstalována, spusťte na plný kontrolu systému s příslušným, up-to-date, řešení zabezpečení. Následující produkty společnosti Microsoft detekovat a odstranit tuto hrozbu:

Další informace o antivirový software, viz http://www.microsoft.com/windows/antivirus-partners/ .

Top

Příznaky

Systémové změny

Příznaky se liší mezi různými distribucemi Rogue:Win32/FakeVimesVšak může přítomnost těchto systémových změn (nebo podobný) ukazují na přítomnost tohoto programu:

Může měnit uložené soubor Hosts přesměrovat výsledky hledání
Zobrazení těchto snímků / dialogy, nebo podobné (např.):

Top

Technické informace (analýza)

Instalace

Členové rodiny Win32/FakeVimes používají různé názvy souborů a systémové úpravy, které se liší od jedné varianty na druhou. Win32/FakeVimes byl distribuován s několika různými jmény. Uživatelské rozhraní a některé další detaily lišit, aby odrážel každou variantu individuální označení.

Některé ze známých přezdívek, Win32/FakeVimes patří následující:

Živé PC péče
Bezpečnost Antivirus
Extra Antivirus
Ultra Antivirus 2009
Malware Catcher 2009
Virus Melt
My Security Engine
Bezpečnost Mistr AV

Rogue:Win32/FakeVimes je možné stáhnout jiným malwarem a uloženy do následujícího umístění s názvem souboru, který se liší v závislosti na distribuci:

C: \ Documents and Settings \ All Users \ Data aplikací \ <random hodnota> \ <Rogue Name.exe>

Například:

C: \ Documents and Settings \ All Users \ Data aplikací \ ff3ce05 \ UA2009.exe

Někteří tuláci mohou vytvářet další soubory, které používají iniciály značkové tuláka, jako "LP" pro "Live PC Care" a "SA" pro "Security Antivirus" Stejně jako v následujících příkladech:

C:. \ Documents and Settings \ All Users \ Data aplikací \ <5 místné číslo> \ LP <3 místné číslo> exe

C:. \ Documents and Settings \ All Users \ Data aplikací \ <5 místné číslo> \ SA <3 místné číslo> exe

Klávesové odkazy jsou vytvořeny na ploše av nabídce Start přejděte na tulák, jako v následujících příkladech:

APPDATA%% \ Microsoft \ Internet Explorer \ Quick Launch \ <rogue name>. Lnk
% USERPROFILE% \ Desktop \ <rogue name>. lnk
% USERPROFILE% \ Nabídka Start \ <rogue name>. lnk
% USERPROFILE% \ Nabídka Start \ Programy \ Po <rogue name>. lnk

"Rogue jméno" je alias používané jako "živé PC péče" nebo "Zabezpečení Antivirus". Ikony na ploše jsou vytvořeny a mohou být zobrazeny ikony v systémové liště, jak v těchto případech:

Užitečná

Přesměrování výsledků hledání

Varianty Win32/Fakevimes může změnit soubor Hosts k přesměrování domény hledání na konkrétní IP adresy, jako je následující:

74.125.45.100
94.228.209.236

206.53.61.77

Ve volné přírodě byl tento darebák pozorován změnit soubor Hosts přesměrovat tyto stránky:

4-open-davinci.com
securitysoftwarepayments.com
privatesecuredpayments.com
secure.privatesecuredpayments.com
getantivirusplusnow.com
secure-plus-payments.com
www.getantivirusplusnow.com
www.secure-plus-payments.com
www.getavplusnow.com
safebrowsing-cache.google.com
urs.microsoft.com
www.securesoftwarebill.com
secure.paysecuresystem.com
paysoftbillsolution.com
protected.maxisoftwaremart.com

FakeVimes varianty mohou změnit soubor Hosts přesměrovat tyto vyhledávače:

search.msn.com
search.live.com
google.com
search.yahoo.com
www.google.com
google.com.au
www.google.com.au
google.be
www.google.be
google.com.br
www.google.com.br
google.ca
www.google.ca
google.ch
www.google.ch
google.de
www.google.de
google.dk
www.google.dk
google.fr
www.google.fr
google.ie
www.google.ie
google.it
www.google.it
google.co.jp
www.google.co.jp
google.nl
www.google.nl
google.no
www.google.no
google.co.nz
www.google.co.nz
google.pl
www.google.pl
google.se
www.google.se
google.co.uk
www.google.co.uk
google.co.za
www.google.co.za
www.google-analytics.com
www.bing.com
search.yahoo.com
www.search.yahoo.com
uk.search.yahoo.com
ca.search.yahoo.com
de.search.yahoo.com
fr.search.yahoo.com
au.search.yahoo.com

Soubor Hosts je běžně uložen jako následující:

% Windir% \ system32 \ drivers \ etc \ hosts.

Změny nastavení lze webového prohlížeče

Rogue:Win32/FakeVimes může změnit data registru změnit nastavení vyhledávačů pro Internet Explorer " findgala.com ".

Zakáže User Access Control (UAC)

V nepoctiví pokusy zakázat UAC vyzve úpravou registru v podklíči:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

Obchvatů Windows firewall

Rogue:Win32/FakeVimes upravuje zásady brány firewall, aby spustitelný připojení k internetu.

Přidanou hodnotu: "< cesta a název souboru FakeVimes > "

Data: " <cesta a název souboru FakeVimes>: *: Enabled: Live PC Care "

Přidanou hodnotu: "< cesta a název souboru FakeVimes > "

Data: " <cesta a název souboru FakeVimes>: *: Enabled: Live PC Care "

Ukončí procesy

Rogue:Win32/FakeVimes může zakázat následující procesy:

winss.exe
winSSUI.exe
OcHealthMon.exe
winssnotify.exe
MsMpEng.exe
msfwsvc.exe

Vypne bezpečnostní aplikace

Varianty FakeVimes může zakázat některé bezpečnostní aplikace úpravou registru dat. Dodává registru podklíč s názvem "Soubor Soubor možností provedení" pro název cílové aplikace spustit " Svchost.exe ", když je požadována související spustitelné. Všimněte si, že mnoho z uvedených souborů jsou bezpečnostní aplikace, zatímco některé jsou spojeny s dalšími lumpy také.

Přidá klíč: "< název souboru z níže uvedeného seznamu> "např." _avp32.exe "

Na podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ snímku Možnosti souborů Exekuční

Přidanou hodnotu: " Debugger "

S hodnotou: " svchost.exe "

Chcete-li podklíč: .. \ Image Options File Execution \ <file jméno ze seznamu below> např. " _avp32.exe "

Příklad seznam aplikací, na něž variant FakeVimes:

_avp32.exe
_avpcc.exe
_avpm.exe
~1.exe
~2.exe
a.exe
aAvgApi.exe
AAWTray.exe
About.exe
ackwin32.exe
adaware.exe
Ad-Aware.exe
advxdwin.exe
AdwarePrj.exe
agent.exe
agentsvr.exe
agentw.exe
alertsvc.exe
alevir.exe
alogserv.exe
AlphaAV
AlphaAV.exe
AluSchedulerSvc.exe
amon9x.exe
AntispywarXP2009.exe
anti-trojan.exe
Anti-Virus Professional.exe
antivirus.exe
AntiVirus_Pro.exe
AntivirusPlus
AntivirusPlus.exe
AntivirusPro_2010.exe
AntivirusXP
AntivirusXP.exe
antivirusxppro2009.exe
ants.exe
apimonitor.exe
aplica32.exe
apvxdwin.exe
arr.exe
Arrakis3.exe
ashAvast.exe
ashBug.exe
ashChest.exe
ashCnsnt.exe
ashDisp.exe
ashLogV.exe
ashMaiSv.exe
ashPopWz.exe
ashQuick.exe
ashServ.exe
ashSimp2.exe
ashSimpl.exe
ashSkPcc.exe
ashSkPck.exe
ashUpd.exe
ashWebSv.exe
aswChLic.exe
aswRegSvr.exe
aswRunDll.exe
aswUpdSv.exe
atcon.exe
atguard.exe
atro55en.exe
atupdater.exe
atwatch.exe
au.exe
aupdate.exe
autodown.exe
auto-protect.nav80try.exe
autotrace.exe
autoupdate.exe
av360.exe
avadmin.exe
AVCare.exe
avcenter.exe
avciman.exe
avconfig.exe
avconsol.exe
ave32.exe
AVENGINE.EXE
avgcc32.exe
avgchk.exe
avgcmgr.exe
avgcsrvx.exe
avgctrl.exe
avgdumpx.exe
avgemc.exe
avgiproxy.exe
avgnsx.exe
avgnt.exe
avgrsx.exe
avgscanx.exe
avgserv.exe
avgserv9.exe
avgsrmax.exe
avgtray.exe
avgui.exe
avgupd.exe
avgw.exe
avgwdsvc.exe
avkpop.exe
avkserv.exe
avkservice.exe
avkwctl9.exe
avltmain.exe
avmailc.exe
avmcdlg.exe
avnotify.exe
avnt.exe
avp32.exe
avpcc.exe
avpdos32.exe
avpm.exe
avptc32.exe
avpupd.exe
avsched32.exe
avsynmgr.exe
avupgsvc.exe
AVWEBGRD.EXE
avwin.exe
avwin95.exe
avwinnt.exe
avwsc.exe
avwupd.exe
avwupd32.exe
avwupsrv.exe
avxmonitor9x.exe
avxmonitornt.exe
avxquar.exe
b.exe
backweb.exe
bargains.exe
bd_professional.exe
bdagent.exe
bdfvcl.exe
bdfvwiz.exe
BDInProcPatch.exe
bdmcon.exe
BDMsnScan.exe
bdreinit.exe
bdsubwiz.exe
BDSurvey.exe
bdtkexec.exe
bdwizreg.exe
beagle.exe
belt.exe
bidef.exe
bidserver.exe
bipcp.exe
bipcpevalsetup.exe
bisp.exe
blackd.exe
blackice.exe
blink.exe
blss.exe
bootconf.exe
bootwarn.exe
borg2.exe
bpc.exe
brasil.exe
brastk.exe
brw.exe
bs120.exe
bspatch.exe
bundle.exe
bvt.exe
c.exe
cavscan.exe
ccapp.exe
ccevtmgr.exe
ccpxysvc.exe
ccSvcHst.exe
cdp.exe
cfd.exe
cfgwiz.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
cfp.exe
cfpconfg.exe
cfplogvw.exe
cfpupdat.exe
Cl.exe
claw95.exe
claw95cf.exe
clean.exe
cleaner.exe
cleaner3.exe
cleanIELow.exe
cleanpc.exe
click.exe
cmd32.exe
cmdagent.exe
cmesys.exe
cmgrdian.exe
cmon016.exe
connectionmonitor.exe
control
cpd.exe
cpf9x206.exe
cpfnt206.exe
crashrep.exe
csc.exe
cssconfg.exe
cssupdat.exe
cssurf.exe
ctrl.exe
cv.exe
cwnb181.exe
cwntdwmo.exe
d.exe
datemanager.exe
dcomx.exe
defalert.exe
defscangui.exe
defwatch.exe
deloeminfs.exe
deputy.exe
divx.exe
dllcache.exe
dllreg.exe
doors.exe
dop.exe
dpf.exe
dpfsetup.exe
dpps2.exe
driverctrl.exe
drwatson.exe
drweb32.exe
drwebupw.exe
dssagent.exe
dvp95.exe
dvp95_0.exe
ecengine.exe
efpeadm.exe
egui.exe
ekrn.exe
emsw.exe
ent.exe
esafe.exe
escanhnt.exe
escanv95.exe
espwatch.exe
ethereal.exe
etrustcipe.exe
evpn.exe
exantivirus-cnet.exe
exe.avxw.exe
expert.exe
explore.exe
fact.exe
f-agnt95.exe
fameh32.exe
fast.exe
fch32.exe
fih32.exe

findviru.exe
firewall.exe
fixcfg.exe
fixfp.exe
fnrb32.exe
fprot.exe
f-prot.exe
f-prot95.exe
fp-win.exe
fp-win_trial.exe
frmwrk32.exe
frw.exe
fsaa.exe
fsav.exe
fsav32.exe
fsav530stbyb.exe
fsav530wtbyb.exe
fsav95.exe
fsgk32.exe
fsm32.exe
fsma32.exe
fsmb32.exe
f-stopw.exe
gator.exe
gav.exe
gbmenu.exe
gbn976rl.exe
gbpoll.exe
generics.exe
gmt.exe
guard.exe
guarddog.exe
guardgui.exe
hacktracersetup.exe
hbinst.exe
hbsrv.exe
History.exe
homeav2010.exe
hotactio.exe
hotpatch.exe
htlog.exe
htpatch.exe
hwpe.exe
hxdl.exe
hxiul.exe
iamapp.exe
iamserv.exe
iamstats.exe
ibmasn.exe
ibmavsp.exe
icload95.exe
icloadnt.exe
icmon.exe
icsupp95.exe
icsuppnt.exe
Identity.exe
idle.exe
iedll.exe
iedriver.exe
IEShow.exe
iface.exe
ifw2000.exe
inetlnfo.exe
infus.exe
infwin.exe
init.exe
init32.exe
install[1].exe
install[2].exe
install[3].exe
install[4].exe
install[5].exe
intdel.exe
intren.exe
iomon98.exe
istsvc.exe
jammer.exe
jdbgmrg.exe
jedi.exe
JsRcGen.exe
kavlite40eng.exe
kavpers40eng.exe
kavpf.exe
kazza.exe
keenvalue.exe
kerio-pf-213-en-win.exe
kerio-wrl-421-en-win.exe
kerio-wrp-421-en-win.exe
killprocesssetup161.exe
launcher.exe
ldnetmon.exe
ldpro.exe
ldpromenu.exe
ldscan.exe
licmgr.exe
livesrv.exe
lnetinfo.exe
loader.exe
localnet.exe
lockdown.exe
lockdown2000.exe
lookout.exe
lordpe.exe
lsetup.exe
luall.exe
luau.exe
lucomserver.exe
luinit.exe
luspt.exe
MalwareRemoval.exe
mapisvc32.exe
mcagent.exe
mcmnhdlr.exe
mcmscsvc.exe
mcnasvc.exe
mcproxy.exe
McSACore.exe
mcshell.exe
mcshield.exe
mcsysmon.exe
mctool.exe
mcupdate.exe
mcvsrte.exe
mcvsshld.exe
md.exe
mfin32.exe
mfw2en.exe
mfweng3.02d30.exe
mgavrtcl.exe
mgavrte.exe
mghtml.exe
mgui.exe
minilog.exe
mmod.exe
monitor.exe
moolive.exe
mostat.exe
mpfagent.exe
mpfservice.exe
MPFSrv.exe
mpftray.exe
mrflux.exe
msa.exe
msapp.exe
MSASCui.exe
msbb.exe
msblast.exe
mscache.exe
msccn32.exe
mscman.exe
msconfig
msdm.exe
msdos.exe
msfwsvc.exe
msiexec16.exe
mslaugh.exe
msmgt.exe
MsMpEng.exe
msmsgri32.exe
mssmmc32.exe
mssys.exe
msvxd.exe
mu0311ad.exe
mwatch.exe
n32scanw.exe
nav.exe
navap.navapsvc.exe
navapsvc.exe
navapw32.exe
navdx.exe
navlu32.exe
navnt.exe
navstub.exe
navw32.exe
navwnt.exe
nc2000.exe
ncinst4.exe
ndd32.exe
neomonitor.exe
neowatchlog.exe
netarmor.exe
netd32.exe
netinfo.exe
netmon.exe
netscanpro.exe
netspyhunter-1.2.exe
netutils.exe
nisserv.exe
nisum.exe
nmain.exe
nod32.exe
normist.exe
norton_internet_secu_3.0_407.exe
notstart.exe
npf40_tw_98_nt_me_2k.exe
npfmessenger.exe
nprotect.exe
npscheck.exe
npssvc.exe
nsched32.exe
nssys32.exe
nstask32.exe
nsupdate.exe
nt.exe
ntrtscan.exe
ntvdm.exe
ntxconfig.exe
nui.exe
nupgrade.exe
nvarch16.exe
nvc95.exe
nvsvc32.exe
nwinst4.exe
nwservice.exe
nwtool16.exe
OAcat.exe
OAhlp.exe
OAReg.exe
oasrv.exe
oaui.exe
oaview.exe
OcHealthMon.exe
ODSW.exe
ollydbg.exe
onsrvr.exe
optimize.exe
ostronet.exe
otfix.exe
outpost.exe
outpostinstall.exe
outpostproinstall.exe
ozn695m5.exe
padmin.exe
panixk.exe
patch.exe
pav.exe
pavcl.exe
PavFnSvr.exe
pavproxy.exe
pavprsrv.exe
pavsched.exe
pavsrv51.exe
pavw.exe
pc.exe
PC_Antispyware2010.exe
pccwin98.exe
pcfwallicon.exe
pcip10117_0.exe
pcscan.exe
pctsAuxs.exe
pctsGui.exe
pctsSvc.exe
pctsTray.exe
pdfndr.exe
pdsetup.exe
PerAvir.exe
periscope.exe
persfw.exe

Veteran.exe secureveteran.exe zabezpečení

sweepsrv.sys

Policie

Snižuje zabezpečení webového prohlížeče

Rogue:Win32/FakeVimes modifikuje data registru, které umožňují aplikaci Internet Explorer ke stažení programy, které mají neplatné digitální podpisy. Ve výchozím nastavení aplikace Internet Explorer vyzve uživatele před stažením podepsané kód, pokud má neplatný digitální podpis.

Změní hodnotu: " RunInvalidSignatures "

S údaji: " 1 "

V podklíč: HKCU \ Software \ Microsoft \ Internet Explorer \ Download

Zobrazuje falešné varování a zavádějící dialogů

Rogue:Win32/FakeVimes pokouší vydávat za Centru zabezpečení systému Windows, s cílem přesvědčit postižené uživatele z její legitimity. Viz níže příklady této lsti:

Po spuštění se zobrazí falešné rogue Centrum zabezpečení dialogové okno s výzvou, aby uživatel spustit skenování.

Pokud uživatelé klikne "Skenovat 'tlačítko tulák se zdá provést kontrolu systému.

Rogue potom zobrazí seznam malwaru údajně nalezen v postiženém systému.

Některé varianty FakeVimes jako "Security Antivirus" souborů pokles figuríny používané pro detekci v Rogue. Níže jsou uvedeny příklady některých souborů vytvořených variant FakeVimes "Security Antivirus":