pátek 25. května 2012

Trojan.Win32.FakeAV.doq


Technické detaily

Tento trojský kůň simuluje antivirový program, aby si kompenzoval uživatelem pro detekci a odstranění falešných hrozeb. Je to aplikace Windows (PE EXE soubor). To je 1 039 872 bytů. Je napsán v C + +.

Instalace

Jakmile trh, Trojan přesune svůj původní soubor a uloží ho jako
% USERPROFILE% \ Local Settings \ Application Data \ <rnd>. Exe
<rnd> kde je náhodné desetinné číslo.
Pokaždé, když zahajoval, Trojan vytvoří následující klíč registru systému:
[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce]
"<jméno Původní Trojan <soubor_obsahující_index>" = "% USERPROFILE% \ Local Settings \ Application Data \ <rnd>. Exe"
To zajišťuje, že Trojan bude automaticky spustí při každém restartování systému.
Trojan také vytvoří následující zkratky:
% USERPROFILE% \ Nabídka Start \ Programy \ Security Tool.lnk
Místní poukazuje na objektu:
% USERPROFILE% \ Local Settings \ Application Data \ <rnd>. Exe

Užitečná

Jakmile trh, Trojan simuluje počítačovou kontrolu systému souborů a zobrazuje informace o falešných hrozeb:
Při pokusu o odstranění hrozby zobrazené Trojan, bude uživatel vyzván k aktivaci programu:
Tyto stránky pak bude zobrazeno, kde je uživatel vyzván k zadání informací o kreditní kartě zakoupit licenci:
OBRANNÁ *** tgate.com
bezpeč *** soft.com
Během své činnosti, Trojan brání nové procesy od svého zrodu. Když Trojan objeví spuštěn proces, že ukončí ji a zobrazí se následující okno:
Například:
Během svého působení Trojan zobrazí následující hlášení v oznamovací oblasti:
Trojan může zobrazit zpráva, že aktualizace programu jsou k dispozici:
Během svého působení Trojan odešle požadavek na adresu:
212. *** .107.202

Odstranění návod

Pokud váš počítač není vybaven antivirovou ochranu a byl napaden tímto škodlivým programem, postupujte podle pokynů jej odstranit:
  1. Restartujte počítač v nouzovém režimu (na začátku zavádění systému, stiskněte a podržte klávesu F8, vyberte možnost Nouzový režim z nabídky spouštění Windows).
  2. Odstraňte následující soubory:
    % USERPROFILE% \ Local Settings \ Application Data \. Exe
% USERPROFILE% \ Nabídka Start \ Programy \ Security Tool.lnk
  3. Odstraňte následující klíč registru systému (viz Co je to systémový registr a jak se používá? )
    [HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce]
""="% USERPROFILE% \ Local Settings \ Application Data \. Exe "
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)