středa 16. května 2012

Trojan:Win32/FakeSysdef


Encyklopedický vstup
Aktualizováno: 30.dubna 2012  |  Zveřejněno: Nov 10, 2010 Aliasy


  • PC Repair (other)
  • TR/FakeSysdef.A.20 (Avira)
  • Trojan.Inject.12360 (ESET)
  • Mal/FakeAV-EA (Sophos)
  • Trojan.FakeAV!gen28 (Symantec)
  • HDD Defragmenter (other)
  • Check Disk (other)
  • Windows Repair (other)
  • WindowsRecovery (other)
  • Windows 7 Recovery (other)
  • Windows XP Recovery (other)
  • Disk Defrag (other)
  • Disk Doctor (other)
  • Disk Helper (other)
  • Disk Ok (other)
  • Disk Optimizer (other)
  • Disk Recovery (other)
  • Disk Repair (other)
  • Data Restore (other)
  • Disk Tool (other)
  • Easy Scan (other)
  • Fast Disk (other)
  • Good Memory (other)
  • Hard Drive Diagnostic (other)
  • HDD Control (other)
  • HDD Diagnostic (other)
  • HDD Fix (other)
  • HDD Low (other)
  • HDD Ok (other)
  • HDD Plus (other)
  • HDD Repair (other)
  • HDD Rescue (other)
  • HDD Scan (other)
  • HDD Tools (other)
  • Memory Fixer (other)
  • Memory Optimizer (other)
  • Memory Scan (other)
  • Quick Defrag (other)
  • Quick Defragmenter (other)
  • Smart Defragmenter (other)
  • Smart Hdd (other)
  • System Defragmenter (other)
  • System Diagnostic (other)
  • System Fix (other)
  • Ultra Defragger (other)
  • Win Defrag (other)
  • Win Defragmenter (other)
  • Win Disk (other)
  • Win Hdd (other)
  • Win Scan (other)
  • Win Scanner (other)
  • Windows Diagnostic (other)
  • Windows Disk (other)
  • Windows Fix disk (other)
  • Windows Safemode (other)
  • Windows Restore (other)
  • Windows Scan (other)
  • Windows Tool (other)
  • Data Restore (other)
  • Windows XP Restore (other)
  • Windows 7 Restore (other)
  • Data_Recovery (other)
  • Data Recovery (other)
  • SMART Repair (other)
  • S.M.A.R.T. Repair (other)
  • SMART Check (other)
  • S.M.A.R.T. Check (other)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace:
Definice: 1.125.1246.0
Vydáno: 05.05.2012		Detekce původně vytvořeny:
Definice: 1.91.1969.0
Vydáno: 18.října 2010

Na této stránce

Shrnutí záložky | Příznaky Technické informace Prevence zotavení

 

Shrnutí

Win32/FakeSysdefje řada programů, které se hlásí k vyhledání hardwarové závady týkající se systémové paměti, pevných disků a přes-všechny výkonnost systému. Oni skenování systému, ukázat, falešné problémy s hardwarem, a nabízíme řešení defragmentace pevných disků a optimalizovat výkon systému.Oni pak informovat uživatele, které potřebují platit peníze stáhněte si opravu modulu a registraci software, aby se opravit tyto neexistující problémy s hardwarem. Jeden z prvních variant byla distribuována jako program s názvem "HDD Defragmenter"Od této doby jméno"FakeSysdef"Nebo"Fake System Defragmenter".

Top

 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost těchto registru změnami:
    V podklíč:HKCU\Software\Microsoft\GDIPlus
    Nastaví hodnotu: "FontCachePath"
    S údaje: "%APPDATA%"
    V podklíč: HKCU\Software\Microsoft\Internet Explorer\Main
    Nastaví hodnotu: "Use FormSuggest"
    S údaje: "yes"
  • Win32/FakeSysdefzobrazuje řadu falešných poplachů uvedením systémové chyby při zobrazení vzhled skenování pevného disku a defragmentaci, pak vyzve uživatele ke koupi a aktivovat jej opravit zjištěné chyby:

Top

 

Technické informace (analýza)

Win32/FakeSysdefje řada programů, které se hlásí k vyhledání hardwarové závady týkající se systémové paměti, pevných disků a přes-všechny výkonnost systému. Oni skenování systému, ukázat, falešné problémy s hardwarem, a nabízíme řešení defragmentace pevných disků a optimalizovat výkon systému.Oni pak informovat uživatele, které potřebují platit peníze stáhněte si opravu modulu a registraci software, aby se opravit tyto neexistující problémy s hardwarem. Jeden z prvních variant byla distribuována jako program s názvem "HDD Defragmenter"Od této doby jméno"FakeSysdef"Nebo"Fake System Defragmenter".
Win32/FakeSysdefbyl distribuován s několika různými jmény nebo aliasů. Uživatelské rozhraní a některé další detaily lišit, aby odrážel každou variantu individuální označení.
Strategie značky může vypadat oprávněné uživatele počítačů jako jména jsou obvykle kombinací technických slov jako "HDD""Disk""Memory"A akce slova jako"Scanner""Defragmenter""Diagnostics""Repair"A"FixV současné době ". Pozorované varianty FakeSysdef patří následující:
  • Check Disk
  • Data Restore
  • Data_Recovery
  • Data Recovery
  • Defragmenter
  • Disk Defrag
  • Disk Doctor
  • Disk Helper
  • Disk OK
  • Disk Optimizer
  • Disk Recovery
  • Disk Repair
  • Disk Tool
  • Easy Scan
  • Fast Disk
  • Full Scan
  • Good Memory
  • HDD Control
  • HDD Defragmenter
  • HDD Diagnostic
  • HDD Fix
  • HDD Low
  • HDD OK
  • HDD Plus
  • HDD Repair
  • HDD Rescue
  • HDD Scan
  • HDD Tools
  • Hard Drive
  • Hard Drive Diagnostic
  • Memory Fixer
  • Memory Scan
  • Memory optimizer
  • My Disk
  • PC Repair
  • Quick Defrag
  • Quick Defragmenter
  • Scan Disk
  • Scanner
  • Smart Defragmenter
  • Smart HDD
  • SMART Repair
  • S.M.A.R.T. Repair
  • SMART Check
  • S.M.A.R.T. Check
  • System Defragmenter
  • System Diagnostic
  • System Repair
  • Ultra Defragger
  • Win Defrag
  • Win Defragmenter
  • Win Disk
  • Win HDD
  • Win Scan
  • Win Scanner
  • Windows Diagnostic
  • Windows Disk
  • Windows Fix Disk
  • Windows Recovery
  • Windows Repair
  • Windows Restore
  • Windows Safemode
  • Windows Scan
  • Windows Tool
Některé varianty také používají operační systém ve své značky:
  • Windows Fix (Například "Windows XP Fix""Windows Vista Fix""Windows 7 Fix"A tak dále)
  • Windows Recovery (Například "Windows XP Recovery""Windows Vista Recovery""Windows 7 Recovery"A tak dále)
  • Windows Repair(Například "Windows XP Repair""Windows Vista Repair""Windows 7 Repair"A tak dále)
  • Windows Restore(Například "Windows XP Restore""Windows Vista Restore""Windows 7 Restore"A tak dále)
Instalace
Instalační Win32/FakeSysdef mohou přijet do počítače s různými názvy souborů. Při spuštění, instalační klesá a vstřikujeDLL soubor (nebo někdy i EXEsouboru) do společných procesů, například "EXPLORER.EXE""WINLOGON.EXE"A"WININET.EXE".
V některých případech, hlavní spustitelný klesá jak DLL a EXEkomponenty. V tomto případěEXE je nastavena na spuštění při každém Windows restart aDLL je vstříknut do "EXPLORER.EXE"Od"EXE"Komponent.
Aby bylo zajištěno, že se automaticky spustí při každém Windows spustí, klesne kopii sebe sama nebo její EXE komponenta pomocí náhodný název souboru do %APPDATA složky.
Některé varianty také vytvořit zástupce na ploše av nabídce Start pomocí následující formát názvu:
  • %USERPROFILE%\ Desktop \ <FakeSysdef značka>. lnk
  • %USERPROFILE%\ Nabídka Start \ Programy \ <FakeSysdef značka>
  • %USERPROFILE%\ Nabídka Start \ Programy \ <FakeSysdef značka> \ <FakeSysdef značka>. lnk
  • %USERPROFILE%\ Nabídka Start \ Programy \ <FakeSysdef značka> \Uninstall <FakeSysdef značka>. lnk
Místní soubor může vypadat podobně jako následující:
Nabídka Start položka může vypadat podobně jako následující:
Hlavní panel Ikona může vypadat podobně jako následující:
Některé varianty mohou také vytvářet záznamy v registru, které umožňují jejich kopírování klesla ke spuštění při každém startu Windows, například:
V podklíč: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Nastaví hodnotu: "<random string>"
Vzhledem k objemu dat: "%APPDATA%\ <FakeSysdef copy.exe "
Win32/FakeSysdef varianty také vytvořit následující úpravy registru:
V podklíč: HKCU\Software\Microsoft\GDIPlus
Nastaví hodnotu: "FontCachePath"
S údaje: "%APPDATA%"
V podklíč: HKCU\Software\Microsoft\Internet Explorer\Main
Nastaví hodnotu: "Use FormSuggest"
S údaje: "yes"
Některé varianty odstranit právě běží FakeSysdef podat poté, co provádí svou škodlivou rutinu, jak se PC Repair varianta, která klesá následující soubor pak odstraní ji po úspěšné instalaci:
.% COMMON_APPDATA% \ <FakeSysdef_file name> exe - například C:\Documents and Settings\All Users\Application Data\3CKFqz6zlpzK.exe
Užitečná
Změní nastavení prohlížeče
Win32/FakeSysdef modifikuje některé Internet Explorer nastavení, například následující:
Umožňuje podání nešifrovaná data z formuláře:
V podklíči:HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
Nastaví hodnotu: "1601"
S údaje: "0"
Změní nastavení použitých certifikátů:
V podklíče:HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing
Nastaví hodnotu: "State"
S údaje: "146944"
Umožňuje měnit pozadí na plochu:
V podklíče:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
Nastaví hodnotu: "NoChangingWallPaper"
S údaje: "0"
Zobrazí všechny zkratky:
V podklíči:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Nastaví hodnotu: "HideIcons"
S údaje: "0"
Zakáže Task Manager:
V podklíče:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Nastaví hodnotu: "DisableTaskMgr"
Vzhledem k objemu dat: "1"
Zakáže kontrola podpisy stažených programů:
V podklíči:HKCU\Software\Microsoft\Internet Explorer\Download
Nastaví hodnotu: "CheckExeSignatures"
Vzhledem k objemu dat: "ne"
Zakáže označování souborů příloh pomocí jejich zóna informace:
V podklíč:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
Nastaví hodnotu: "SaveZoneInformation"
Vzhledem k objemu dat: "1"
Nastavuje nízké rizikové typy souboru:
V podklíč:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
Nastaví hodnotu: "LowRiskFileTypes"
S údaje: "/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:"
Ukončí nebo blokuje programy
NěkteréWin32/FakeSysdefvarianty, které mohou ukončit běžící procesy při instalaci a může blokovat spuštěna aplikace po restartování počítače. Během instalace se mohou ukončit všechny běžící procesy a nutí restartování počítače.
Po restartu FakeSysdefpokouší se blokovat každý zahájený program, a pak může zobrazovat falešné chybové zprávy, které nabízejí k vyřešení problému.To pak se opakovaně restartuje počítač, dokud uživatel souhlasí s tím, koupit falešný software týden
Zobrazuje falešné varování
Při spuštění,Win32/FakeSysdefmohou zobrazovat falešné zprávy, které naznačují, že počítač má různé výkon a problémy se stabilitou. Program falešná rozhraní může vypadat podobně jako následující:
Některé z falešných chybových zpráv, které se zobrazí může vypadat podobně jako následující:
Při "Fix Errors"Tlačítko je vybráno, FakeSysdefpředstírá, skenování a defragmentaci pevného disku. To pak zobrazuje více falešné chybové zprávy a řekne uživateli, že potřebuje koupit "Advanced Module.. "Pro opravy Jestliže se uživatel rozhodne k tomu, prohlížeč otevře se otevře vlastní webový prohlížeč, kde uživatel může vstup své kreditní karty k nákupu softwaru:
Připojí ke vzdálenému serveru
Win32/FakeSysdefpřipojí k některým serverům, aby je informoval, že počítač byl napaden. Některé ze serverů, kteréWin32/Fakesysdef Je známo, že připojení, jsou tato:
  • asha<removed>. com
  • click<removed>. org
  • beaut<removed>. com
  • media<removed>. com
  • search<removed>. org
  • find<removed>. org
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)