INDEX > Vírusok > FraudTool.Regdefence.a


		0
		0
		0
		0

Online : 4 ( Member 0)

FraudTool.Regdefence.a

Writer : admin Date : 09-09-29 09:20 Hit : 833

Trackback Address : http://www.quickheal.hu/bbs/tb.php/Virus/831

A FraudTool.Regdefence.a manuálisan kerül letöltésre. A felhasználló tölti le, kártékony weblapok böngészése közben.

Malware Tipus

:

FraudTool

Más néven

:

XXXX

Fenyegetett rendszerek

:

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Rizikófaktor

:

Alacsony

Leirás

AFraudTool.Regdefence.a is a következő folyamatokat inditja el a rendszeren:

Az alábbi mappákat hozza létre:

%ProgramFiles%\RegDefense
%Userprofile%\Start Menu\Programs\RegDefense

Az alábbi fájlokat hozza létre:

%ProgramFiles%\RegDefense\pskill.exe
%ProgramFiles%\RegDefense\prep.cmd
%ProgramFiles%\RegDefense\RDFNSDataStore.dll
%ProgramFiles%\RegDefense\RDFNSAnalyzers.dll
%ProgramFiles%\RegDefense\ICSharpCode.SharpZipLib.dll
%ProgramFiles%\RegDefense\Interop.IWshRuntimeLibrary.dll
%ProgramFiles%\RegDefense\RDFNSLogger.dll
%ProgramFiles%\RegDefense\RDFNSPCheckbox.dll
%ProgramFiles%\RegDefense\RDFNSQueuedTextBox.dll
%ProgramFiles%\RegDefense\RDFNSRestorer.dll
%ProgramFiles%\RegDefense\RDFNSAgent.exe
%ProgramFiles%\RegDefense\RDFNSListener.exe
%ProgramFiles%\RegDefense\RDFNSStarter.exe
%ProgramFiles%\RegDefense\RegDefense.exe
%ProgramFiles%\RegDefense\rd_stub.exe
%ProgramFiles%\RegDefense\RegDefense.exe.manifest
%ProgramFiles%\RegDefense\RDFNSSilentRemover.exe
%ProgramFiles%\RegDefense\RDFNSStartuper.exe
%ProgramFiles%\RegDefense\rd_sr.exe
%ProgramFiles%\RegDefense\uninstall.exe
%Userprofile%\Start Menu\Programs\RegDefense\RegDefense.lnk
%Userprofile%\Start Menu\Programs\RegDefense\Help and Support.url
%Userprofile%\Start Menu\Programs\RegDefense\Upgrade RegDefense.url
%Userprofile%\Start Menu\Programs\RegDefense\Uninstall RegDefense.lnk

Az alábbi regiszterbejegyzéseket hozza létre:

HKLM\Software\RegDefense

RDFNSListener = "%ProgramFiles%\RegDefense\RDFNSListener.exe"
RDFNSAgent = "%ProgramFiles%\RegDefense\RDFNSAgent.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\RegDefense

Ezt a kártevőt manuálisan lehet installálni. .NET FrameWork-re van szüksége, ahogy azt a kép is mutatja.

A kártevő három lépést produkál a maleware- ek eltávolitásához.

Ezután a felhasználót felszólitja, hogy fizessen teljeskörű liszenszre, ahhoz, hogy a hamis veszélyeket elháritsa:

Backdoor.Rbot.adzn

Writer : admin Date : 09-09-25 12:40 Hit : 10

Trackback Address : http://quickheal.hu/bbs/tb.php/Virus/830

A Backdoor.Rbot.adzn véletlenszerű portot nyit meg és teljes hozzáférést biztosit a távoli felhasználónak. Cserélhető meghajtókon keresztül is terjedhet.

Malware Tipus

:

Backdoor

Más néven

:

TR/Crypt.FKM.Gen [Avira], W32/Sdbot.worm.gen [McAfee]

Fenyegetett Rendszerek

:

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Rizikófaktor

:

Alacsony

Leirás:

A Backdoor.Rbot.adzn a következő folyamatokat inditja el a rendszeren:

Az alábbi fájlokat helyezi el a rendszeren:

%Windows%\system32 \win.log
%Windows%\system32 \smss.exe [copy of itself]

Az alábbi regiszterbejegyzéseket módositja/hozza létre:

EnableDCOM = "N"
HKLM\Software\Microsoft\Ole

Default = "%Windows%\system32 \smss.exe" "%1" %*"
HKLM\Software\Classes\exefile\shell\open\command

DoNotAllowXPSP2 = "1"
DoNotAllowXPSP3 = "1"
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate

Userinit = "%System%\userinit.exe,%Windows\system32 \smss.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

%Windows%\system32 \smss.exe = %Windows%\system32 \smss.exe:*:Enabled:SMS Services
HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List

CheckedValue = "0"
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL

Az alábbi fájlokat hozza létre a cserélhető meghajtókon:

%Drive letter%\autorun.inf
%Drive letter%\AutoRun - usb_installer.exe [Copy of itself]

Egy AUTORUN.INF fájlt másol az automaikus futtatás érdekében, amikor a cserélhető meghajtó elérhető.

Az AUTORUN.INF fájl az alábbiakat tartalmazza:

;AutoRun - usb_installer.exe
;Partner ID : 1
;JetFlash TS1GJFV30 8.07
;(C) 2008-2009 USB INSTALLER - WEB OCTOPUS
[AUToRuN]
;;open=
open=usb_installer.exe
;;shellexecute=
shellexecute=usb_installer.exe
;;shell\open=Open(&O)
shell\Open\Command=usb_installer.exe
shell\open\Default=1
;;shell\explore=Manager(&X)
shell\explore\Command=usb_installer.exe
;;shell\Autoplay(&A)
shell\Autoplay\command=usb_installer.exe
;;shell=
shell=Explore

Ha a felhasználó az alábbi bekarikázott opciót kiválasztja, a féreg automatikusan elkezd futni

Az alábbi domainnal kommunikál, és lehet, hogy fájlokat tölt le onnan:

http://81.169.[XXXX].[XXXX]

Megoldás:

Kapcsolja ki a rendszer visszaállítását.

Windows Me-nél:
Kattintson a Start gombra, majd Beállítások, Vezérlőpult. Kattintson duplán a "Rendszer"-re majd a "Teljesítmény"-re. Kattintson a Fájlrendszerre majd a Troubleshooting-ra. Válassza ki a "rendszer visszaállítás kikapcsolása" lehetőséget, és kattintson az "Alkalmazás"-ra. Indítsa újra a gépet.

Windows XP-nél:
Kattintson a Start gombra, majd Beállítások, Vezérlőpult.
Kattintson duplán a "Rendszer"-re és utána arra hogy "A rendszer visszaállítása". Pipálja ki a "A rendszer visszaállítás kikapcsolása az összes meghajtón" és kattintson az "Alkalmazás"-ra. Indítsa újra a gépet.

A Quick Heal-t használóknak ajánlott letölteni a legújabb vírusleírásokat, és a Quick Heal Scanner segítségével átvizsgálni a gépet.