Encyklopedický vstup
Aktualizováno: 17.dubna 2011 | Zveřejněno: Srpen 18, 2010 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2011 | Zveřejněno: Srpen 18, 2010 Aliasy
-
FakeAlert-CQ (McAfee)
- Extra Antivirus (other)
- Ultra Antivirus 2009 (other)
- Malware Catcher 2009 (other)
- Virus Melt (other)
- Windows PC Defender (other)
- Live PC Care (other)
- Security Antivirus (other)
- Cleanup Antivirus (other)
- My Security Wall (other)
- Security Guard (other)
- My Security Engine (other)
- Paladin Antivirus (other)
- Security Master AV (other)
- My Security Shield (other)
- Smart Engine (other)
- Best Malware Protection (other)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.125.1799.0 Vydáno: 14.května 2012 | Detekce původně vytvořeny: Definice: 1.57.39.0 Vydáno: 21.dubna 2009 |
Shrnutí
Rogue:Win32/FakeVimes je řada programů, které tvrdí, skenování na malware a zobrazí falešné varování před "škodlivými programy a viry". Oni pak informuje uživatele, že potřebují zaplatit peníze na registraci software s cílem odstranit tyto neexistující hrozby.
Zvláštní poznámka:
Zprávy o Rogue antivirového programu byly častější v poslední době. Jedná se o programy, které generují zavádějící a falešná upozornění detekci s cílem přesvědčit uživatele ke koupi nelegitimní bezpečnostní software. Některé z těchto programů může zobrazit názvy produktů nebo loga do zdánlivě protiprávní pokus vydávat se produktů společnosti Microsoft.
Zprávy o Rogue antivirového programu byly častější v poslední době. Jedná se o programy, které generují zavádějící a falešná upozornění detekci s cílem přesvědčit uživatele ke koupi nelegitimní bezpečnostní software. Některé z těchto programů může zobrazit názvy produktů nebo loga do zdánlivě protiprávní pokus vydávat se produktů společnosti Microsoft.
Pro detekci a odstranění této hrozby a další škodlivý software, který může být v počítači nainstalována, spusťte na plný kontrolu systému s příslušným, up-to-date, řešení zabezpečení. Následující produkty společnosti Microsoft detekovat a odstranit tuto hrozbu:
Další informace o antivirový software, viz http://www.microsoft.com/windows/antivirus-partners/ .
Příznaky
Systémové změny
Příznaky se liší mezi různými distribucemi Rogue:Win32/FakeVimesVšak může přítomnost těchto systémových změn (nebo podobný) ukazují na přítomnost tohoto programu:
- Může měnit uložené soubor Hosts přesměrovat výsledky hledání
- Zobrazení těchto snímků / dialogy, nebo podobné (např.):
Technické informace (analýza)
Rogue:Win32/FakeVimes je řada programů, které tvrdí, skenování na malware a zobrazí falešné varování před "škodlivými programy a viry". Oni pak informuje uživatele, že potřebují zaplatit peníze na registraci software s cílem odstranit tyto neexistující hrozby.
Instalace
Členové rodiny Win32/FakeVimes používají různé názvy souborů a systémové úpravy, které se liší od jedné varianty na druhou. Win32/FakeVimes byl distribuován s několika různými jmény. Uživatelské rozhraní a některé další detaily lišit, aby odrážel každou variantu individuální označení.
Některé ze známých přezdívek, Win32/FakeVimes patří následující:
- Živé PC péče
- Bezpečnost Antivirus
- Extra Antivirus
- Ultra Antivirus 2009
- Malware Catcher 2009
- Virus Melt
- Bezpečnost Mistr AV
Rogue:Win32/FakeVimes je možné stáhnout jiným malwarem a uloženy do následujícího umístění s názvem souboru, který se liší v závislosti na distribuci:
C: \ Documents and Settings \ All Users \ Data aplikací \ <random hodnota> \ <Rogue Name.exe>
Například:
C: \ Documents and Settings \ All Users \ Data aplikací \ ff3ce05 \ UA2009.exe
Někteří tuláci mohou vytvářet další soubory, které používají iniciály značkové tuláka, jako "LP" pro "Live PC Care" a "SA" pro "Security Antivirus" Stejně jako v následujících příkladech:
C:. \ Documents and Settings \ All Users \ Data aplikací \ <5 místné číslo> \ LP <3 místné číslo> exe
C:. \ Documents and Settings \ All Users \ Data aplikací \ <5 místné číslo> \ SA <3 místné číslo> exe
Klávesové odkazy jsou vytvořeny na ploše av nabídce Start přejděte na tulák, jako v následujících příkladech:
APPDATA%% \ Microsoft \ Internet Explorer \ Quick Launch \ <rogue name>. Lnk
% USERPROFILE% \ Desktop \ <rogue name>. lnk
% USERPROFILE% \ Nabídka Start \ <rogue name>. lnk
% USERPROFILE% \ Nabídka Start \ Programy \ Po <rogue name>. lnk
% USERPROFILE% \ Desktop \ <rogue name>. lnk
% USERPROFILE% \ Nabídka Start \ <rogue name>. lnk
% USERPROFILE% \ Nabídka Start \ Programy \ Po <rogue name>. lnk
"Rogue jméno" je alias používané jako "živé PC péče" nebo "Zabezpečení Antivirus". Ikony na ploše jsou vytvořeny a mohou být zobrazeny ikony v systémové liště, jak v těchto případech:
Užitečná
Přesměrování výsledků hledání
Varianty Win32/Fakevimes může změnit soubor Hosts k přesměrování domény hledání na konkrétní IP adresy, jako je následující:
74.125.45.100
94.228.209.236
94.228.209.236
206.53.61.77
Ve volné přírodě byl tento darebák pozorován změnit soubor Hosts přesměrovat tyto stránky:
4-open-davinci.com
securitysoftwarepayments.com
privatesecuredpayments.com
secure.privatesecuredpayments.com
getantivirusplusnow.com
secure-plus-payments.com
www.getantivirusplusnow.com
www.secure-plus-payments.com
www.getavplusnow.com
safebrowsing-cache.google.com
urs.microsoft.com
www.securesoftwarebill.com
secure.paysecuresystem.com
paysoftbillsolution.com
protected.maxisoftwaremart.com
securitysoftwarepayments.com
privatesecuredpayments.com
secure.privatesecuredpayments.com
getantivirusplusnow.com
secure-plus-payments.com
www.getantivirusplusnow.com
www.secure-plus-payments.com
www.getavplusnow.com
safebrowsing-cache.google.com
urs.microsoft.com
www.securesoftwarebill.com
secure.paysecuresystem.com
paysoftbillsolution.com
protected.maxisoftwaremart.com
FakeVimes varianty mohou změnit soubor Hosts přesměrovat tyto vyhledávače:
search.msn.com
search.live.com
google.com
search.yahoo.com
www.google.com
google.com.au
www.google.com.au
google.be
www.google.be
google.com.br
www.google.com.br
google.ca
www.google.ca
google.ch
www.google.ch
google.de
www.google.de
google.dk
www.google.dk
google.fr
www.google.fr
google.ie
www.google.ie
google.it
www.google.it
google.co.jp
www.google.co.jp
google.nl
www.google.nl
google.no
www.google.no
google.co.nz
www.google.co.nz
google.pl
www.google.pl
google.se
www.google.se
google.co.uk
www.google.co.uk
google.co.za
www.google.co.za
www.google-analytics.com
www.bing.com
search.yahoo.com
www.search.yahoo.com
uk.search.yahoo.com
ca.search.yahoo.com
de.search.yahoo.com
fr.search.yahoo.com
au.search.yahoo.com
search.live.com
google.com
search.yahoo.com
www.google.com
google.com.au
www.google.com.au
google.be
www.google.be
google.com.br
www.google.com.br
google.ca
www.google.ca
google.ch
www.google.ch
google.de
www.google.de
google.dk
www.google.dk
google.fr
www.google.fr
google.ie
www.google.ie
google.it
www.google.it
google.co.jp
www.google.co.jp
google.nl
www.google.nl
google.no
www.google.no
google.co.nz
www.google.co.nz
google.pl
www.google.pl
google.se
www.google.se
google.co.uk
www.google.co.uk
google.co.za
www.google.co.za
www.google-analytics.com
www.bing.com
search.yahoo.com
www.search.yahoo.com
uk.search.yahoo.com
ca.search.yahoo.com
de.search.yahoo.com
fr.search.yahoo.com
au.search.yahoo.com
Soubor Hosts je běžně uložen jako následující:
% Windir% \ system32 \ drivers \ etc \ hosts.
Změny nastavení lze webového prohlížeče
Rogue:Win32/FakeVimes může změnit data registru změnit nastavení vyhledávačů pro Internet Explorer " findgala.com ".
Zakáže User Access Control (UAC)
V nepoctiví pokusy zakázat UAC vyzve úpravou registru v podklíči:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Obchvatů Windows firewall
Rogue:Win32/FakeVimes upravuje zásady brány firewall, aby spustitelný připojení k internetu.
Přidanou hodnotu: "< cesta a název souboru FakeVimes > "
Data: " <cesta a název souboru FakeVimes>: *: Enabled: Live PC Care "
Na
Přidanou hodnotu: "< cesta a název souboru FakeVimes > "
Data: " <cesta a název souboru FakeVimes>: *: Enabled: Live PC Care "
Na
Ukončí procesy
Rogue:Win32/FakeVimes může zakázat následující procesy:
- winss.exe
- winSSUI.exe
- OcHealthMon.exe
- winssnotify.exe
- MsMpEng.exe
- msfwsvc.exe
Vypne bezpečnostní aplikace
Varianty FakeVimes může zakázat některé bezpečnostní aplikace úpravou registru dat. Dodává registru podklíč s názvem "Soubor Soubor možností provedení" pro název cílové aplikace spustit " Svchost.exe ", když je požadována související spustitelné. Všimněte si, že mnoho z uvedených souborů jsou bezpečnostní aplikace, zatímco některé jsou spojeny s dalšími lumpy také.
Přidá klíč: "< název souboru z níže uvedeného seznamu> "např." _avp32.exe "
Na podklíč: HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ snímku Možnosti souborů Exekuční
Přidanou hodnotu: " Debugger "
S hodnotou: " svchost.exe "
Chcete-li podklíč: .. \ Image Options File Execution \ <file jméno ze seznamu below> např. " _avp32.exe "
Příklad seznam aplikací, na něž variant FakeVimes:
_avp32.exe
_avpcc.exe _avpm.exe ~1.exe ~2.exe a.exe aAvgApi.exe AAWTray.exe About.exe ackwin32.exe adaware.exe Ad-Aware.exe advxdwin.exe AdwarePrj.exe agent.exe agentsvr.exe agentw.exe alertsvc.exe alevir.exe alogserv.exe AlphaAV AlphaAV.exe AluSchedulerSvc.exe amon9x.exe AntispywarXP2009.exe anti-trojan.exe Anti-Virus Professional.exe antivirus.exe AntiVirus_Pro.exe AntivirusPlus AntivirusPlus.exe AntivirusPro_2010.exe AntivirusXP AntivirusXP.exe antivirusxppro2009.exe ants.exe apimonitor.exe aplica32.exe apvxdwin.exe arr.exe Arrakis3.exe ashAvast.exe ashBug.exe ashChest.exe ashCnsnt.exe ashDisp.exe ashLogV.exe ashMaiSv.exe ashPopWz.exe ashQuick.exe ashServ.exe ashSimp2.exe ashSimpl.exe ashSkPcc.exe ashSkPck.exe ashUpd.exe ashWebSv.exe aswChLic.exe aswRegSvr.exe aswRunDll.exe aswUpdSv.exe atcon.exe atguard.exe atro55en.exe atupdater.exe atwatch.exe au.exe aupdate.exe autodown.exe auto-protect.nav80try.exe autotrace.exe autoupdate.exe av360.exe avadmin.exe AVCare.exe avcenter.exe avciman.exe avconfig.exe avconsol.exe ave32.exe AVENGINE.EXE avgcc32.exe avgchk.exe avgcmgr.exe avgcsrvx.exe avgctrl.exe avgdumpx.exe avgemc.exe avgiproxy.exe avgnsx.exe avgnt.exe avgrsx.exe avgscanx.exe avgserv.exe avgserv9.exe avgsrmax.exe avgtray.exe avgui.exe avgupd.exe avgw.exe avgwdsvc.exe avkpop.exe avkserv.exe avkservice.exe avkwctl9.exe avltmain.exe avmailc.exe avmcdlg.exe avnotify.exe avnt.exe avp32.exe avpcc.exe avpdos32.exe avpm.exe avptc32.exe avpupd.exe avsched32.exe avsynmgr.exe avupgsvc.exe AVWEBGRD.EXE avwin.exe avwin95.exe avwinnt.exe avwsc.exe avwupd.exe avwupd32.exe avwupsrv.exe avxmonitor9x.exe avxmonitornt.exe avxquar.exe b.exe backweb.exe bargains.exe bd_professional.exe bdagent.exe bdfvcl.exe bdfvwiz.exe BDInProcPatch.exe bdmcon.exe BDMsnScan.exe bdreinit.exe bdsubwiz.exe BDSurvey.exe bdtkexec.exe bdwizreg.exe beagle.exe belt.exe bidef.exe bidserver.exe bipcp.exe bipcpevalsetup.exe bisp.exe blackd.exe blackice.exe blink.exe blss.exe bootconf.exe bootwarn.exe borg2.exe bpc.exe brasil.exe brastk.exe brw.exe bs120.exe bspatch.exe bundle.exe bvt.exe c.exe cavscan.exe ccapp.exe ccevtmgr.exe ccpxysvc.exe ccSvcHst.exe cdp.exe cfd.exe cfgwiz.exe cfiadmin.exe cfiaudit.exe cfinet.exe cfinet32.exe cfp.exe cfpconfg.exe cfplogvw.exe cfpupdat.exe Cl.exe claw95.exe claw95cf.exe clean.exe cleaner.exe cleaner3.exe cleanIELow.exe cleanpc.exe click.exe cmd32.exe cmdagent.exe cmesys.exe cmgrdian.exe cmon016.exe connectionmonitor.exe control cpd.exe cpf9x206.exe cpfnt206.exe crashrep.exe csc.exe cssconfg.exe cssupdat.exe cssurf.exe ctrl.exe cv.exe cwnb181.exe cwntdwmo.exe d.exe datemanager.exe dcomx.exe defalert.exe defscangui.exe defwatch.exe deloeminfs.exe deputy.exe divx.exe dllcache.exe dllreg.exe doors.exe dop.exe dpf.exe dpfsetup.exe dpps2.exe driverctrl.exe drwatson.exe drweb32.exe drwebupw.exe dssagent.exe dvp95.exe dvp95_0.exe ecengine.exe efpeadm.exe egui.exe ekrn.exe emsw.exe ent.exe esafe.exe escanhnt.exe escanv95.exe espwatch.exe ethereal.exe etrustcipe.exe evpn.exe exantivirus-cnet.exe exe.avxw.exe expert.exe explore.exe fact.exe f-agnt95.exe fameh32.exe fast.exe fch32.exe fih32.exe |
findviru.exe
firewall.exe fixcfg.exe fixfp.exe fnrb32.exe fprot.exe f-prot.exe f-prot95.exe fp-win.exe fp-win_trial.exe frmwrk32.exe frw.exe fsaa.exe fsav.exe fsav32.exe fsav530stbyb.exe fsav530wtbyb.exe fsav95.exe fsgk32.exe fsm32.exe fsma32.exe fsmb32.exe f-stopw.exe gator.exe gav.exe gbmenu.exe gbn976rl.exe gbpoll.exe generics.exe gmt.exe guard.exe guarddog.exe guardgui.exe hacktracersetup.exe hbinst.exe hbsrv.exe History.exe homeav2010.exe hotactio.exe hotpatch.exe htlog.exe htpatch.exe hwpe.exe hxdl.exe hxiul.exe iamapp.exe iamserv.exe iamstats.exe ibmasn.exe ibmavsp.exe icload95.exe icloadnt.exe icmon.exe icsupp95.exe icsuppnt.exe Identity.exe idle.exe iedll.exe iedriver.exe IEShow.exe iface.exe ifw2000.exe inetlnfo.exe infus.exe infwin.exe init.exe init32.exe install[1].exe install[2].exe install[3].exe install[4].exe install[5].exe intdel.exe intren.exe iomon98.exe istsvc.exe jammer.exe jdbgmrg.exe jedi.exe JsRcGen.exe kavlite40eng.exe kavpers40eng.exe kavpf.exe kazza.exe keenvalue.exe kerio-pf-213-en-win.exe kerio-wrl-421-en-win.exe kerio-wrp-421-en-win.exe killprocesssetup161.exe launcher.exe ldnetmon.exe ldpro.exe ldpromenu.exe ldscan.exe licmgr.exe livesrv.exe lnetinfo.exe loader.exe localnet.exe lockdown.exe lockdown2000.exe lookout.exe lordpe.exe lsetup.exe luall.exe luau.exe lucomserver.exe luinit.exe luspt.exe MalwareRemoval.exe mapisvc32.exe mcagent.exe mcmnhdlr.exe mcmscsvc.exe mcnasvc.exe mcproxy.exe McSACore.exe mcshell.exe mcshield.exe mcsysmon.exe mctool.exe mcupdate.exe mcvsrte.exe mcvsshld.exe md.exe mfin32.exe mfw2en.exe mfweng3.02d30.exe mgavrtcl.exe mgavrte.exe mghtml.exe mgui.exe minilog.exe mmod.exe monitor.exe moolive.exe mostat.exe mpfagent.exe mpfservice.exe MPFSrv.exe mpftray.exe mrflux.exe msa.exe msapp.exe MSASCui.exe msbb.exe msblast.exe mscache.exe msccn32.exe mscman.exe msconfig msdm.exe msdos.exe msfwsvc.exe msiexec16.exe mslaugh.exe msmgt.exe MsMpEng.exe msmsgri32.exe mssmmc32.exe mssys.exe msvxd.exe mu0311ad.exe mwatch.exe n32scanw.exe nav.exe navap.navapsvc.exe navapsvc.exe navapw32.exe navdx.exe navlu32.exe navnt.exe navstub.exe navw32.exe navwnt.exe nc2000.exe ncinst4.exe ndd32.exe neomonitor.exe neowatchlog.exe netarmor.exe netd32.exe netinfo.exe netmon.exe netscanpro.exe netspyhunter-1.2.exe netutils.exe nisserv.exe nisum.exe nmain.exe nod32.exe normist.exe norton_internet_secu_3.0_407.exe notstart.exe npf40_tw_98_nt_me_2k.exe npfmessenger.exe nprotect.exe npscheck.exe npssvc.exe nsched32.exe nssys32.exe nstask32.exe nsupdate.exe nt.exe ntrtscan.exe ntvdm.exe ntxconfig.exe nui.exe nupgrade.exe nvarch16.exe nvc95.exe nvsvc32.exe nwinst4.exe nwservice.exe nwtool16.exe OAcat.exe OAhlp.exe OAReg.exe oasrv.exe oaui.exe oaview.exe OcHealthMon.exe ODSW.exe ollydbg.exe onsrvr.exe optimize.exe ostronet.exe otfix.exe outpost.exe outpostinstall.exe outpostproinstall.exe ozn695m5.exe padmin.exe panixk.exe patch.exe pav.exe pavcl.exe PavFnSvr.exe pavproxy.exe pavprsrv.exe pavsched.exe pavsrv51.exe pavw.exe pc.exe PC_Antispyware2010.exe pccwin98.exe pcfwallicon.exe pcip10117_0.exe pcscan.exe pctsAuxs.exe pctsGui.exe pctsSvc.exe pctsTray.exe pdfndr.exe pdsetup.exe PerAvir.exe periscope.exe persfw.exe |
Veteran.exe secureveteran.exe zabezpečení
sweepsrv.sys
Policie
|
Snižuje zabezpečení webového prohlížeče
Rogue:Win32/FakeVimes modifikuje data registru, které umožňují aplikaci Internet Explorer ke stažení programy, které mají neplatné digitální podpisy. Ve výchozím nastavení aplikace Internet Explorer vyzve uživatele před stažením podepsané kód, pokud má neplatný digitální podpis.
Změní hodnotu: " RunInvalidSignatures "
S údaji: " 1 "
V podklíč: HKCU \ Software \ Microsoft \ Internet Explorer \ Download
Zobrazuje falešné varování a zavádějící dialogů
Rogue:Win32/FakeVimes pokouší vydávat za Centru zabezpečení systému Windows, s cílem přesvědčit postižené uživatele z její legitimity. Viz níže příklady této lsti:
Po spuštění se zobrazí falešné rogue Centrum zabezpečení dialogové okno s výzvou, aby uživatel spustit skenování.
Pokud uživatelé klikne "Skenovat 'tlačítko tulák se zdá provést kontrolu systému.
Rogue potom zobrazí seznam malwaru údajně nalezen v postiženém systému.
Některé varianty FakeVimes jako "Security Antivirus" souborů pokles figuríny používané pro detekci v Rogue. Níže jsou uvedeny příklady některých souborů vytvořených variant FakeVimes "Security Antivirus":
Rogue vyzve uživatele, aby se ochránili s popup;
stejně jako falešné chybové hlášení a falešné registrace systém vyzve.
Tato chybová zpráva obsahuje překlep:
Pokud by uživatel klikne na některé z tlačítek "ochrana" rogue informuje uživatele, že je to zkušební verze, která vyžaduje registraci.
Poté je uživatel přesměrován na vzdáleném místě, aby "registraci" se tulák - to obvykle zahrnuje zaplacení příslušného poplatku.
Kontakty vzdálený hostitel
Rogue:Win32/FakeVimes hlásí úspěšné instalace a další informace o příslušném počítači v nastavení na vzdáleném počítači následující:
- updvmfnow.cn
Žádné komentáře:
Okomentovat