Trojan.Win32. FraudPack.akqu
Троянская программа, выполняющая деструктивные действия на компьютере пользователя.
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 1328640 байт. Написана на C++.
Инсталляция
После запуска троянец перемещает свое тело в файл:
%Program Files%\InternetSecurity2010\IS2010.exeДля идентификации своего присутствия в системе троянец создает следующие ключи системного реестра:
"LastVFC" = "25"
"VirList"
= "55|41|17|26|33|52|28|10|40|9|39|52|37|12|8|36|44|56|23
|36|34|15|15|41|1|55" "LastD" = "1"
"Internet Security 2010" = "%Program Files%\InternetSecurity2010
\IS2010.exe"
%USERPROFILE%\Desktop\Internet Security 2010.lnk
%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick
Launch\Internet Security 2010.lnk
%Program Files%\InternetSecurity2010\IS2010.exeДалее троянец запускает на выполнение файл "IS2010.exe" и завершает свою работу.
name="doc3">
Деструктивная активность
Троянец представляет собой лже- антивирус . После запуска троянец имитирует работу антивирусной программы, отображая на экране следующие окна:
- логотип программы:
- имитация процесса сканирования файловой системы компьютера:
- вывод ложного сообщения о наличии множества вирусов:
При нажатии на кнопку "Fix my computer" отображается окно ввода ключа активации лже-антивирусной программы:
а также в установленном по умолчанию браузере открывается ссылка:
http://bu***ty10.com/buy/?code=00000000На данном сайте производится ввод данных для покупки лицензии:
При попытке включения отключенных функций лже-антивируса, также производится запуск рассмотренного процесса активации:
