Технические детали: Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 186880 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 1258 КБ. Написана на C++.
Инсталляция:
После запуска троянец перемещает свое тело в следующий файл:
%USERPROFILE%\Local Settings\Application Data\av.exe
Файл создается с атрибутами "скрытый" (hidden) и "системный" (system).
Кроме того, троянец создает ярлыки:
%USERPROFILE%\Start Menu\XP_AntiSpyware.lnk
%USERPROFILE%\Desktop\XP_AntiSpyware.lnk
%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick
Launch\XP_AntiSpyware.lnk
Все ярлыки указывают на файл:
%USERPROFILE%\Local Settings\Application Data\av.exe
Далее троянец запускает на выполнение файл "av.exe" и завершает свою работу.
Деструктивная активность:
Троянец представляет собой лже-антивирус. После запуска троянец имитирует работу антивирусной программы, отображая на экране окна следующего содержания:
• имитация процесса сканирования файловой системы компьютера:
• вывод ложного сообщения о наличии множества вирусов:
Нажатие на область с надписью "Register now" приводит к отображению окна выбора типа приобретаемой лицензии, а также формы для ввода данных кредитной карты.
Кроме того, троянец отображает в области уведомлений сообщения следующего вида:
В процессе своей работы троянец создает уникальные идентификаторы с именами:
cu43yxio32zdl11
{C9A34C77-4D69-45EC-A07D-83242376045D}D68DDC3A-
831F-4FAE-9E44-DA132C1ACF46
Также изменяются значения следующих ключей системного реестра:
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = "0"
"DoNotAllowExceptions" = "0"
"DisableNotifications" = "1"
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = "0"
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\DomainProfile]
"DoNotAllowExceptions" = "0"
"DisableNotifications" = "1"
[HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start" = "4"
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = "1"
"AntiVirusOverride" = "1"
"FirewallDisableNotify" = "1"
"FirewallOverride" = "1"
"UpdatesDisableNotify" = "1"
Таким образом, троянец отключает брандмауэр Windows.
Кроме того, в процессе своей работы троянец пытается загрузить файлы со следующих хостов:
live-pc-care.com
one-care-antivirus.com
onecare-antivirus2010.com
winlive-care2010.com
winlive-care21.com
win-live-care2010.com
live-pccare.com
windows-live-care.com
pcguard2010.com
pcwin-live.com
tulibonerduma.com
Загруженные файлы сохраняются в каталоге "%Temporary Internet Files%".
Удаление вируса:
• При помощи Диспетчера задач завершить троянский процесс.
• Удалить файлы:
%USERPROFILE%\Local Settings\Application Data\av.exe
%USERPROFILE%\Start Menu\XP_AntiSpyware.lnk
%USERPROFILE%\Desktop\XP_AntiSpyware.lnk
%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick
Launch\XP_AntiSpyware.lnk
• Восстановить исходные значения ключей системного реестра:
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = "0"
"DoNotAllowExceptions" = "0"
"DisableNotifications" = "1"
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = "0"
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\DomainProfile]
"DoNotAllowExceptions" = "0"
"DisableNotifications" = "1"
[HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start" = "4"
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = "1"
"AntiVirusOverride" = "1"
"FirewallDisableNotify" = "1"
"FirewallOverride" = "1"
"UpdatesDisableNotify" = "1"
• Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.
• Произвести полную проверку компьютера вашим антивирусом с обновленными антивирусными базами