Технические детали: Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 204800 байт. Упакована неизвестным упаковщиком. Написана на C++.
Деструктивная активность:
Если при запуске имя исполняемого файла и его расположение отличалось от ниже перечисленных:
%Application Data%\ave.exe
%Application Data%\av.exe
%Application Data%\MSASCui.exe
%Application Data%\vma.exe
%Application Data%\Microsoft\Windows Defender\ave.exe
%Application Data%\Microsoft\Windows Defender\av.exe
%Application Data%\Microsoft\Windows Defender\MSASCui.exe
%Application Data%\Microsoft\Windows Defender\vma.exe
%Application Data%\avG\ave.exe
%Application Data%\avG\av.exe
%Application Data%\avG\MSASCui.exe
%Application Data%\avG\vma.exe
тогда троянец копирует свое тело под одним из этих имен (при этом файлу устанавливаются атрибуты "архивный", "скрытый" и "системный"), запускает его на исполнение, удаляет свое оригинальное тело и завершает работу.
Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
cu43yxio32zdl11
Троянец ищет окно с классом "msascui_class" и завершает процесс, принадлежащий этому окну.
Также завершает процессы со следующими именами:
firefox.exe
iexplorer.exe
MSASCui.exe
Для автоматического запуска своего тела при запуске любого исполняемого файла с расширением ".exe" троянец добавляет следующую информацию в ключи системного реестра:
[HKCU\Software\Classes\.exe]
"(default)" = "secfile"
"Content Type" = "application/x-msdownload"
[HKCU\Software\Classes\.exe\DefaultIcon]
"(default)" = "%1"
[HKCU\Software\Classes\.exe\shell\open\command]
"(default)" = "%UserProfile%\Local Settings\
Application Data\<имя файла троянца>
%" /START "%1" %*
"IsolatedCommand" = "%1" %*
[HKCU\Software\Classes\.exe\shell\runas\command]
"(default)" = "%1" %*
"IsolatedCommand" = "%1" %*
[HKCU\Software\Classes\.exe\shell\start\command]
"(default)" = "%1" %*
"IsolatedCommand" = "%1" %*
[HKCU\Software\Classes\secfile]
"(default)" = "Application"
"Content Type"="application/x-msdownload"
[HKCU\Software\Classes\secfile\DefaultIcon]
"(default)" = "%1"
[HKCU\Software\Classes\secfile\shell\open\command]
"(default)" = "%UserProfile%\Local Settings\Application Data\
<имя файла троянца>" /START "%1" %*
"IsolatedCommand" = "%1" %*
[HKCU\Software\Classes\secfile\shell\runas\command]
"(default)" = "%1" %*
"IsolatedCommand" = "%1" %*
[HKCU\Software\Classes\secfile\shell\start\command]
"(default)" = "%1" %*
"IsolatedCommand" = "%1" %*
Также модифицирует ключи системного реестра следующим образом:
[HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\
shell\open\command]
"(default)" = "%UserProfile%\Local Settings\
Application Data\<имя файла
троянца>" /START "%ProgramFiles%\Internet Explorer\iexplore.exe"
[HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\
shell\open\command]
"(default)" = "%UserProfile%\Local Settings\Application Data\
<имя файла троянца>" /START "%ProgramFiles%\Mozilla Firefox\firefox.exe"
[HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\
shell\safemode\command] "(default)" = "%UserProfile%\Local Settings\Application Data\
<имя файла троянца>"
/START "%ProgramFiles%\Mozilla Firefox\firefox.exe" -safe-mode
[HKEY_CURRENT_USER\Software\Microsoft\Windows] "Identity"=dword:6219be35
Троянец создает файлы, которые использует при выполнении:
%UserProfile%\Local Settings\Application Data\1QYGtyi5E
%Temp%\1QYGtyi5E
%AllUsersProfile%\Application Data\1QYGtyi5E
Данные файлы могут иметь размер и не являются вредоносными.
Для блокировки работы "Центра обеспечения безопасности Windows" и "Брандмауэра Windows" изменяет настройки в ключах системного реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = "0"
"DoNotAllowExceptions" = "0"
[HKLM\SYSTEM\Curr
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = "1"
"FirewallDisableNotify" = "1"
"UpdatesDisableNotify" = "1"
"AntiVirusOverride" = "1"
"FirewallOverride" = "1"
• Троянец отображает следующее окно:
• Имитирует работу антивирусного сканера и нахождение вредоносных программ, хотя все перечисленные файлы на компьютере пользователя отсутствуют:
• После этого троянец отображает окно, где предлагается зарегистрироваться для устранения всех уязвимостей и удаления вредоносных программ:
• При выборе пункта регистрации, открывает первый из доступных ресурсов:
pc-live-care.com
securitypc-care.com
pc-live-care2010.com
pc-livecare.com
security-pccare.com
pc-livecare2010.com
win-live-care.com
securitypccare.com
antivirus-one-care2010.com
winlive-care21.com
onecare-antivirus2010.com
one-care-antivirus.com
live-pc-care.com
win-live-care2010.com
windows-live-care.com
live-pccare.com
prodsupportonline.com
live-av-support.com
exclusiveavsupport.com
exclusive-avsupport.com
exclusiveav-support.com
exclusive-av-support.com
exclusiveavsupport10.com
exclusive-avsupport10.com
exclusiveantivirussupport.com
ebuntosakert.com
opasewascert.com
cavertunelo.com
lionavertunad.com
skadertubalin.com
sakertuberade.com
pondavertuga.com
acertubalino.com
tulibonerduma.com
asertubarilos.com
ufertugalion.com
tulibonerduma.com
ufertugalion.com
asertubarilos.com
asertunadovk.com
На сайте предлагается купить антивирусное решение, воспользовавшись платежными системами Visa или Maser Card и заполнив форму ввода кредитных данных:
• Каждую минуту отображает различные предупреждения о сетевых атаках или о найденных вредоносных программах:
• Блокирует доступ браузера к Интернет, при попытке запуска браузера отображает окно, имитирующее сообщение от сетевого экрана и снова предлагает воспользоваться антивирусным решением:
Рекомендации по удалению:
1. Запустить Редактор системного реестра.
2. При помощи Диспетчера задач завершить троянский процесс.
ave.exe
av.exe
MSASCui.exe
vma.exe
3. Удалить ключи системного реестра:
[HKCU\Software\Classes\.exe]
[HKCU\Software\Classes\secfile]
4. Восстановить значения параметров ключей системного реестра на следующие:
[HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\
shell\open\command]
"(default)" = "%ProgramFiles%\Internet Explorer\iexplore.exe"
[HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\
shell\open\command]
"(default)" = "%ProgramFiles%\Mozilla Firefox\firefox.exe"
[HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\
shell\safemode\command]
"(default)" = "%ProgramFiles%\Mozilla Firefox\firefox.exe" -safe-mode
5. Удалить параметр ключа системного реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows]
"Identity"=dword:6219be35
6. Удалить файлы:
%Application Data%\ave.exe
%Application Data%\av.exe
%Application Data%\MSASCui.exe
%Application Data%\vma.exe
%Application Data%\Microsoft\Windows Defender\ave.exe
%Application Data%\Microsoft\Windows Defender\av.exe
%Application Data%\Microsoft\Windows Defender\MSASCui.exe
%Application Data%\Microsoft\Windows Defender\vma.exe
%Application Data%\avG\ave.exe
%Application Data%\avG\av.exe
%Application Data%\avG\MSASCui.exe
%Application Data%\avG\vma.exe
%UserProfile%\Local Settings\Application Data\1QYGtyi5E
%Temp%\1QYGtyi5E
%AllUsersProfile%\Application Data\1QYGtyi5E
7. При необходимости восстановить настройки "Центра обеспечения безопасности Windows" и "Брандмауэра Windows".
8. Очистить каталог Temporary Internet Files:
%Temporary Internet Files%
9. Произвести полную проверку компьютера вашего антивируса с обновленными антивирусными базами