středa 9. května 2012

Rogue:Win32/FakeYak


Shrnutí

Rogue:Win32/FakeYak je řada falešných antivirových produktů, pomocí jmen, jako jsou Zentom System Guard nebo Antimalware Doctor, Který tvrdí, že skenování malware a zobrazí falešné varování o škodlivé soubory. Oni pak informuje uživatele, že potřebují zaplatit peníze na registraci software s cílem odstranit tyto neexistující hrozby.


 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost těchto Systém Guard.lnk % startmenu% \ System Zentom Guard.lnk % PROGRAMY% \ System Guard Zentom \ System Zentom Guard.lnk % PROGRAMY% \ System Guard Zentom \ Uninstall.lnk % APPDATA% \ Microsoft \ Internet Explorer \ Quick Launch \ Zentom Systém Guard.lnk % STARTUP% \ System Zentom Guard.lnk
























































































  • Přítomnost těchto úprav registru:

    V podklíč: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Nastaví hodnotu: <malware filename>
    Pomocí dat: úplná cesta malware>
    V podklíč: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Přidává hodnotu: "mllsic70nb.exe"
    Vzhledem k objemu dat:%APPDATA\b68987eb23713612e50c2474798899d1\mllsic70nb.exe
    HKCU\Software\Zentom System Guard Inc\Zentom System Guard\
  • Displej z následujících obrázků a zpráv:





 

Technické informace (analýza)

Rogue:Win32/FakeYak je řada falešných antivirových produktů, pomocí jmen, jako jsou Zentom System Guard nebo Antimalware Doctor, Který tvrdí, že skenování malware a zobrazí falešné varování o škodlivé soubory. Oni pak informuje uživatele, že potřebují zaplatit peníze na registraci software s cílem odstranit tyto neexistující hrozby.
Instalace
Rogue:Win32/FakeYak může být instalován kapátka souboru. Tento soubor vytvoří podadresář%% APPDATA s názvem založené na různých systémových vlastností a míst kopie malware v tomto adresáři. Název adresáře se skládá z 32 hexadecimálních číslic (číslice 0-9 a písmena AF). Název souboru pro malware je konstantní pro danou kapátka souboru. Příklady souborů používaných jmen patří následující:
  • 24ceedefin.exe
  • 45avs87hck.exe
  • 56avmd10100ctrl.exe
  • 67atrbin87ctr.exe
  • STATlavsstr70.exe
  • Tgsrvmdctrl.exe
  • Tk70ccreloc.exe
  • accchainld4.exe
  • agibck70dl.exe
  • akf46poir.exe
  • ans24hexmod.exe
  • ansi70sepmod.exe
  • antihckrdl.exe
  • antrsub700f.exe
  • ap334ssolib.exe
  • app234socklib.exe
  • apsbv446duo.exe
  • arg70techsdk.exe
  • asecpp70.exe
  • asp70vdviss.exe
  • avres10100binclt.exe
  • avsc87hck.exe
  • avsvmdctrl.exe
  • b705mvn0set.exe
  • agn70dol.exe
  • bin24mvlsr1.exe
  • bnstss700mano.exe
  • cafbine70mps.exe
  • candek700mem.exe
  • cefint46lod.exe
  • dlupdt6kc.exe
  • e124codecset.exe
  • fdebckalias70.exe
  • fghmook70.exe
  • fincap34lb.exe
  • ftbret24lt0.exe
  • gss700optbin.exe
  • hmod70twindl.exe
  • ht124megaurd.exe
  • itt28bgrmod.exe
  • k70ccreloc.exe
  • lavsstr70.exe
  • loc24eetr0.exe
  • mllsic70nb.exe
  • netbac24ss0.exe
  • ost26winnidesk.exe
  • r24upldoc.exe
  • r24upldss1.exe
  • reb700casdll.exe
  • satdll70snn.exe
  • sd727decksp.exe
  • sdd236updnte.exe
  • secureisodll75.exe
  • setui70vir.exe
  • sfmoc700init.exe
  • simc124mods.exe
  • sklnis234slot.exe
  • sock46pch.exe
  • sokdrt700.exe
  • sorttp700.exe
  • tassib700lib.exe
  • teps234uivan.exe
  • teps236bitacc.exe
  • tmpsys26css1.exe
  • tpg46unitlc.exe
  • tprdbl24cc.exe
  • tr700lqqcore.exe
  • trsin24pob.exe
  • tun70uidop.exe
  • ugh24xbitgu.exe
  • ugh26vbitgu.exe
  • ut70mbd0pps.exe
  • vsc87hck.exe
  • vvt705sync0pat.exe
  • vystar24cc0.exe
  • webctldrun.exe
  • y24copslibe.exe
  • zlib31resi.exe
Příkladem může být instalace místo %APPDATA\b68987eb23713612e50c2474798899d1\mllsic70nb.exe.
Kapátko a pak spustí nově nainstalovaný malware. Toto vytvoří následující soubory ve stejném adresáři jako sám o sobě:
  • enemies-names.txt
  • local.ini
  • lsrslt.ini
  • hookdll.dll
První tři z těchto souborů obsahuje zprávy zobrazené na falešné skeneru a podrobné údaje o malware, který se údajně odhalí.
Vytváří odkaz soubory, aby se umístit ikonu na pracovní ploše, přidejte sebe a pro odinstalaci odkaz na nabídce Start, přidejte se do panelu Snadné spuštění, a přidat se do nabídky Po spuštění. Názvy souborů jsou založeny na značky, které malware používá. Například:
  • %DESKTOPDIRECTORY%\Zentom System Guard.lnk
  • %STARTMENU%\Zentom System Guard.lnk
  • %PROGRAMS%\Zentom System Guard\Zentom System Guard.lnk
  • %PROGRAMS%\Zentom System Guard\Uninstall.lnk
  • %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Zentom System Guard.lnk
  • %STARTUP%\Zentom System Guard.lnk
nebo
  • %DESKTOPDIRECTORY%\Antimalware Doctor.lnk
  • %STARTMENU%\Antimalware Doctor.lnk
  • %PROGRAMS%\Antimalware Doctor\Antimalware Doctor.lnk
  • %PROGRAMS%\Antimalware Doctor\Uninstall.lnk
  • %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk
  • %STARTUP%\Antimalware Doctor.lnk
Všimněte si, že odkaz odinstalovat jednoduše vypustí kopii malware bez odinstalování.
Zástupce na ploše může vypadat takto:
To také vytvoří následující položku registru ve snaze zajistit, že běží na spuštění systému, například:
V podklíč: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nastaví hodnotu: <malware filename>
Pomocí dat: úplná cesta malware>
Z výše uvedeného příkladu by to vytvořit následující:
V podklíč: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Přidává hodnotu: "mllsic70nb.exe"
Vzhledem k objemu dat:%APPDATA\b68987eb23713612e50c2474798899d1\mllsic70nb.exe
Je také ukládá informace o stavu a konfiguraci podle klíče registru, jako jednu z následujících akcí:
  • HKCU\Software\Zentom System Guard Inc\Zentom System Guard
  • HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor
Užitečná
Zobrazuje falešnou antivirového skeneru
Při spuštění, malware provádí falešné prověřování systému, a nepravdivě tvrdí, že počet souborů v systému je infikováno malwarem. By uživatelé měli požadovat, aby se čistí oznámených infekcí, radí jim, že je třeba věnovat peníze na program zaregistrovat, aby pro to, aby tak učinily.
Pokud se uživatel pokusí odstranit hrozby, jsou informováni, že je třeba produkt zaregistrovat, aby tak učinily.
Zobrazuje zprávy, jako je následující, pokud se uživatel pokusí ignorovat hrozbu, nebo vycouvat z registrace.
To může také zobrazovat dialogy a vyskakovacích oken, jako jsou následující ve snaze přesvědčit uživatele, že jejich systémy jsou napadeny.
To může také zobrazit falešný Centrum zabezpečení.
Pokud uživatel klepne na některý z odkazů v okně nahoře, zobrazí se dialogové okno její aktivace.
Monitory klávesnice a myš akce
hookdll.dll složka háky klávesnice a myš, která umožňuje zaznamenat stisky kláves a kliknutí myší.

Žádné komentáře:

Okomentovat