Trojan.Win32. FraudPack.akqu

Троянская программа, выполняющая деструктивные действия на компьютере пользователя.

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 1328640 байт. Написана на C++.

Инсталляция

После запуска троянец перемещает свое тело в файл:

%Program Files%\InternetSecurity2010\IS2010.exe
Для идентификации своего присутствия в системе троянец создает следующие ключи системного реестра:
[HKCU\Software\IS2010]
"LastVFC" = "25"
"VirList"
= "55|41|17|26|33|52|28|10|40|9|39|52|37|12|8|36|44|56|23
|36|34|15|15|41|1|55" "LastD" = "1"
Для автоматического запуска своего оригинального файла при каждом следующем старте системы троянец создает следующий ключ системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Internet Security 2010" = "%Program Files%\InternetSecurity2010
\IS2010.exe"
Кроме того, троянец создает ярлыки:
%USERPROFILE%\Start Menu\Internet Security 2010.lnk
%USERPROFILE%\Desktop\Internet Security 2010.lnk
%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick
Launch\Internet Security 2010.lnk
Все ярлыки указывают на файл:
%Program Files%\InternetSecurity2010\IS2010.exe
Далее троянец запускает на выполнение файл "IS2010.exe" и завершает свою работу.

Деструктивная активность

Троянец представляет собой лже-антивирус. После запуска троянец имитирует работу антивирусной программы, отображая на экране следующие окна:

  • логотип программы:

  • имитация процесса сканирования файловой системы компьютера:

     

  • вывод ложного сообщения о наличии множества вирусов:

     

При нажатии на кнопку "Fix my computer" отображается окно ввода ключа активации лже-антивирусной программы:

а также в установленном по умолчанию браузере открывается ссылка:

http://bu***ty10.com/buy/?code=00000000
На данном сайте производится ввод данных для покупки лицензии:

 

При попытке включения отключенных функций лже-антивируса, также производится запуск рассмотренного процесса активации: