Analysé par: Erika Bianca Mendoza   

 

FraudTool.Win32.PrivacyCenter.ek!a (GFI-Sunbelt); PAK:PE_Patch (Kaspersky); PUA.Packed.ASPack (ClamAV)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
    Non

  • In the wild:
    Oui

  Overview

Pour bénéficier d'un aperçu complet du comportement de ce programme espion, reportez-vous au diagramme des menaces présenté ci-dessous.

Possibilité d''installation manuelle par un utilisateur.

Se connecte à certains URL. Le but peut être d''informer à distance un utilisateur malintentionné de son installation. Peut également servir à télécharger des fichiers potentiellement malveillants sur l''ordinateur, exposant l''ordinateur à davantage de risques d''infection liés à d''autres menaces. Cependant, au moment de cette publication, les sites en question sont inaccessibles.

Installe un faux logiciel antivirus/anti-programme espion. Affiche de faux messages d'alerte prévenant les utilisateurs d'une infection. Affiche également de faux résultats du scan du système affecté. Demande ensuite aux utilisateurs de l'acheter une fois le scan terminé. Si les utilisateurs décident d'acheter le produit malveillant, ils sont dirigés vers un site Web demandant des informations sensibles, telles que des numéros de carte bancaire.

  Détails techniques

File size: 2,312,192 bytes
File type: EXE
Compression de fichiers ASProtect
Memory resident: Oui
Date de réception des premiers échantillons: 31 mars 2011
Charge malveillante: Connects to URLs/IPs, Displays fake alerts, Terminates processes

Précisions sur l'apparition de l'infection

Possibilité d''installation manuelle par un utilisateur.

Installation

Introduit les duplicats suivants au sein du système affecté.

  • %Application Data%\Microsoft\{6 random characters}.exe

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)

Technique de démarrage automatique

Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "%Application Data%\Microsoft\{6 random characters}.exe"

Autres modifications du système

Ajoute les entrées de registre suivantes relatives à sa routine d''installation :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
ConsentPromptBehaviorAdmin = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
ConsentPromptBehaviorUser = "0"

Interruption de processus

Met fin aux processus suivants exécutés au niveau de la mémoire du système affecté :

  • taskmgr.exe
  • procexp.exe
  • regedit.exe
  • msseces.exe
  • msascui.exe

Routine de téléchargement

Se connecte aux URL malveillants suivants :

  • http://{BLOCKED}om/soft-usage/favicon.ico?0={value}&1={username}&2=i-s&3={value}&4={value}&5={value}&6={value}&7={value}&8={value}

Cependant, au moment de cette publication, les sites en question sont inaccessibles.

Routine faux antivirus

Installe un faux logiciel antivirus/anti-programme espion.

Affiche de faux messages d'alerte prévenant les utilisateurs d'une infection. Affiche également de faux résultats du scan du système affecté. Demande ensuite aux utilisateurs de l'acheter une fois le scan terminé. Si les utilisateurs décident d'acheter le produit malveillant, ils sont dirigés vers un site Web demandant des informations sensibles, telles que des numéros de carte bancaire.

  Solutions

Moteur de scan minimum: 8.900
VSAPI OPR Pattern Version: 7.943.00
VSAPI OPR Pattern Release Date: 01 avril 2011

Step 1

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 2

Redémarrage en mode sans échec

[ suite ]

Step 3

Supprimer cette valeur de registre

[ suite ]

Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    • Shell = "%Application Data%\Microsoft\{6 random characters}.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • EnableLUA = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • ConsentPromptBehaviorAdmin = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • ConsentPromptBehaviorUser = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
    • DisableSR = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\afwserv.exe
    • Debugger = "svchost.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastsvc.exe
    • Debugger = "svchost.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastui.exe
    • Debugger = "svchost.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe
    • Debugger = "svchost.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe
    • Debugger = "svchost.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msascui.exe
    • Debugger = "svchost.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe
    • Debugger = "svchost.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe
    • Debugger = "svchost.exe"

Step 4

Redémarrez en mode normal et effectuez un scan de l"ordinateur à l"aide de votre produit Trend Micro afin de rechercher les fichiers détectés comme étant TROJ_FAKEAV.BBK Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.


Participez à notre enquête!