0
0
0
0
  Online : 4 ( Member 0)
   
  TrojanDownloader.FraudLoad.wq
  Writer : admin     Date : 09-09-25 12:01     Hit : 1160    
  Trackback Address : http://www.quickheal.hu/bbs/tb.php/Virus/828

A TrojanDownloader.FraudLoad.wq egy másik malware által kerülhet a számitógépre, vagy a gyanútlan felhasználó által, miközben kártékony oldalra téved.

         

Malware Tipus

:

Trójai

Más néven

:

TR/Crypt.XPACK.Gen [Avira], Generic FakeAlert!ci trojan [McAfee]

Fenyegetett rendszerek

:

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Rizikófaktor

:

Alacsony

Leirás:
A TrojanDownloader.FraudLoad.wq az alábbi fájlokat hozza létre:

%System%\41.exe
%System%\winhelper.dll
%System%\winupdate.exe
%System%\critical_warning.html

A malware a következő háttérképet állitja be:



Ezután hamis hibaüzeneteket küld a felhasználónak, és megkéri, hogy töltse le a rougware-t:



A trójai ezutén futtatja a Rougware alkalmazést.A futtatás után az alábbi fájlokat hozza létre:

%ProgramFiles%\AdvancedVirusRemover\PAVRM.exe
%Userprofile%\Desktop\Advanced Virus Remover.lnk
%Userprofile%\Start Menu\Advanced Virus Remover.lnk
%Userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\
Advanced Virus Remover.lnk 

Ezután az alábbi regiszterbejegyzéseket módositja vagy hozza létre:

Advanced Virus Remover = "%ProgramFiles%\AdvancedVirusRemover\PAVRM.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

DisableTaskMgr = "1"
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System

NoSetActiveDesktop = "1"
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoChangingWallpaper = "1"
NoActiveDesktopChanges = "1"
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\
ActiveDesktop

A rougware hamis üzeneteket futtat:



Iezután arra is felszólitja a felhasználót, hogy let9ltse a frissitett verziót.



A következő termék aktiválását is kéri:
A trójai kártékony fájlokat tölt le az alábbi URL cimekről:

http://[XXXX]down.com/cgi-bin/get.pl?l=%s
http://download[XXXX].com/firewall.dll
http://download[XXXX].com/cgi-bin/download.pl?code=%s
http://onlinescan[XXXX].com/loads.php?code=%s
http://onlinescan[XXXX].com/loads.php?code=0001014

Megoldás:

Kapcsolja ki a rendszer visszaállítását.


Windows Me-nél:
Kattintson a Start gombra, majd Beállítások, Vezérlőpult. Kattintson duplán a "Rendszer"-re majd a "Teljesítmény"-re. Kattintson a Fájlrendszerre majd a Troubleshooting-ra. Válassza ki a "rendszer visszaállítás kikapcsolása" lehetőséget, és kattintson az "Alkalmazás"-ra. Indítsa újra a gépet.

Windows XP-nél:
Kattintson a Start gombra, majd Beállítások, Vezérlőpult.
Kattintson duplán a "Rendszer"-re és utána arra hogy "A rendszer visszaállítása". Pipálja ki a "A rendszer visszaállítás kikapcsolása az összes meghajtón" és kattintson az "Alkalmazás"-ra. Indítsa újra a gépet.

A Quick Heal-t használóknak ajánlott letölteni a legújabb vírusleírásokat, és a Quick Heal Scanner segítségével átvizsgálni a gépet.