Налоги России
18.226.200.240, Вторник, 05.11.2024, 01:36
Приветствую Вас Гость | RSS
 
Главная БлогиРегистрацияВход
TaxRu
С днем победы!
Меню сайта
Статистика
Онлайн всего: 203
Гостей: 203
Пользователей: 0

Сегодня были:




РЕКЛАМА

Реклама
Категории раздела
О НАЛОГАХ [11362]
Все о налогах.
Письма [6417]
Нормативные письма в основном по налогам, бухгалтерскому учету и пр.
О НАЛОГАХ "ТАМ" [2420]
Новости о налогах, финансах за рубежом
БУХГАЛТЕРСКИЙ УЧЕТ [683]
Бухучет
ПОЛИТИКА [1278]
Все о политике
ЭКОНОМИКА [3228]
И мировая, и наша. Проблемы и их решения.
ФИНАНСЫ [1132]
БЕЗОПАСНОСТЬ [1299]
Вопросы безопасности частной жизни, организации, регионов, страны.
КРИМИНАЛ [109]
РЕЛИГИЯ [5200]
Все о религиозных течениях, плюсы, минусы, критика.
Афоризмы, притчи [745]
Афоризмы, притчи, рассказы
ПРИРОДА [298]
Интересные статьи про явления природы
ОБ ЭТОМ [63]
Отношения между мужчиной женщиной
ПОЭЗИЯ [61]
Блог специально заведен для моей сестры Анжелы. Но в нем могут размещать материалы все для кого поэзия это состояние души.
БОНУСЫ [30]
Здесь будут размещаться Бонусы рублевые, долларовые и др. Перемещен раздел для более легкого размещения бонусов и возможности писать посетителям отзывы
АФЕРЫ [65]
В этом блоге будут размещаться материалы о сайтах аферистах, желающим размещать материал представить доки, ссылки, краткое объяснение.
Видео [76]
Разное видео разбитое по разделам
ИНФОРПРЕСС [948]
Для размещения статей экономической тематики
Главная » 2011 » Сентябрь » 1 » Вредоносные программы семейства Trojan.Fakealert


14:10
Вредоносные программы семейства Trojan.Fakealert

Вредоносные программы семейства Trojan.Fakealert известны уже довольно давно, в настоящее время в вирусных базах Dr.Web насчитывается более 24 тысяч модификаций данного троянца. Традиционно Trojan.Fakealert представляет собой лжеантивирус, при запуске сообщающий пользователю о наличии на его компьютере вредоносного ПО, для удаления которого требуется приобрести платную версию этого «продукта». В большинстве случаев никаких вредоносных программ, кроме самого Trojan.Fakealert, на машине жертвы нет. Разновидностей подобных лжеантивирусов, отличающихся названием, оформлением и количеством «определяемых» ими «угроз», существует великое множество, однако большинство из них действуют по одной и той же схеме: их задача — напугать пользователя и заставить его заплатить за решение несуществующей проблемы. Несколько иначе действует Trojan.Fakealert.23300.

В апреле 2011 года через бот-сеть BlackEnergy начала распространяться спам-рассылка, в сообщения которой был вложен ZIP-архив с троянцем Trojan.DownLoad.64325. Он, в свою очередь, загружал и запускал на компьютере пользователя Trojan.Fakealert.23300. Сами «письма счастья» содержали информацию о посылке, которая якобы вскоре будет доставлена получателю послания.

Запустившись на компьютере жертвы, Trojan.Fakealert.23300 копирует себя в папку C:\Documents and Settings\All Users\Application Data\ под именем qWTmtLDywFob.exe и вносит ряд изменений в системный реестр с целью отключить Диспетчер задач и прописать ссылку на указанный выше исполняемый файл в ветке, отвечающей за автозагрузку приложений. Кроме того, троянец проверяет языковую версию операционной системы: если Windows имеет русскую, польскую, украинскую или чешскую локализацию, Trojan.Fakealert.23300 прекращает свою работу. В ресурсах троянца содержатся версии отображаемых им сообщений на нескольких языках, в том числе на английском, немецком и французском.

После успешного запуска Trojan.Fakealert.23300 останавливает процесс антивирусной программы Microsoft Security Essentials, проверяет, не запущен ли он в виртуальной машине (в этом случае троянец прекращает свою работу), отключает проверку электронной цифровой подписи для загруженных программ и сохранение зоны, откуда был запущен файл, а также устанавливает пониженный рейтинг опасности файлам с расширениями .zip; .rar; .nfo; .txt; .exe; .bat; .com; .cmd; .reg; .msi; .htm; .html; .gif; .bmp; .jpg; .avi; .mpg; .mpeg; .mov; .mp3; .m3u; .wav; .scr. Затем троянец отключает в настройках Проводника демонстрацию скрытых и системных файлов, запрещает пользователю смену обоев Рабочего стола Windows (вместо них устанавливается черная заливка), очищает список последних открытых документов в Главном меню, прячет значки в Панели быстрого запуска и меню «Пуск», после чего демонстрирует на экране сообщение об ошибке жесткого диска и предлагает выполнить его проверку с помощью специальной утилиты.
 

Вслед за этим троянец должен сохранить на диск файл из собственных ресурсов, содержащий ту самую «утилиту для проверки винчестера».

Предполагается, что утилита выполнит «проверку» диска, обнаружит на нем «ошибки», после чего предложит пользователю приобрести полную версию этой программы, которая якобы позволит их исправить. По крайней мере, именно такой функционал, по всей видимости, закладывали в Trojan.Fakealert.23300 его разработчики. Однако благодаря допущенным в его коде ошибкам данная функция не работает в полученном вирусной лабораторией образце (впрочем, это совершенно не означает, что она не будет работать в других модификациях). Интерфейс этой «утилиты для проверки дисков» показан на предложенных ниже иллюстрациях:

Trojan.Fakealert.23300 способен загружать зашифрованные исполняемые файлы и запускать их на инфицированном компьютере: в настоящее время он скачивает с удаленного узла троянец семейства TDSS. Есть основания полагать, что Trojan.Fakealert.23300 создан с использованием специального конструктора. Следовательно, в ближайшем будущем можно ожидать появления новых модификаций этой вредоносной программы.
В последнее время наблюдается отчетливая тенденция расширения функциональности угроз семейства Trojan.Fakealert, а также комбинирования свойств лжеантивирусов с вредоносными программами других типов. В частности, в антивирусную лабораторию «Доктор Веб» регулярно поступают образцы троянских программ семейства Trojan.MulDrop, наподобие приложения Trojan.MulDrop2.54093, которое при запуске демонстрирует на экране окно лжеантивируса, но при этом обладает другим вредоносным функционалом: устанавливает на зараженный компьютер извлеченную из собственного исполняемого файла вредоносную программу. Сигнатуры данных угроз добавлены в вирусные базы Dr.Web. В целях безопасности не забывайте регулярно осуществлять сканирование жестких дисков вашего компьютера.
Категория: БЕЗОПАСНОСТЬ | Просмотров: 4817 | Добавил: AlIvanof | Теги: Trojan.Fakealert.23300
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Подписка
Скажи "Спасибо"
Поиск по сайту
QR-код сайта
Безопасность
Налоги России © 2009 - 2024
Индекс цитирования Яндекс.Метрика Рейтинг@Mail.ru