TROJ_FAKEREAN
FakeRean, Renos, FakeAlert, FakeAlerter, Renos, FraudPack
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
In the wild:
Oui
Overview
Emploie un système de génération de registre essentiel en ajoutant certaines entrées de registre. Cela permet à ce programme malveillant de s''exécuter même lorsque d''autres applications sont ouvertes.
Détails techniques
Installation
Introduit les duplicats suivants au sein du système affecté.
- %Application Data%\av.exe
- %Application Data%\ave.exe
- %Windows%\msa.exe
(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.. %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)
Introduit les fichiers suivants :
- %Application Data%\1S7p66
- %Application Data%\1gx8VwiF
- %Application Data%\3pxrV41BG
- %Application Data%\Oiitd0ys0jFnW
- %Application Data%\PQ608daGr
- %Application Data%\U0k0MQl
- %Application Data%\g1oOP77
- %Application Data%\oY0vtai
- %System Root%\Documents and Settings\All Users\Application Data\1S7p66
- %System Root%\Documents and Settings\All Users\Application Data\PQ608daGr
- %System Root%\Documents and Settings\All Users\Application Data\oY0vtai
- %User Profile%\Templates\1S7p66
- %User Profile%\Templates\PQ608daGr
- %User Profile%\Templates\oY0vtai
- %User Temp%\1S7p66
- %User Temp%\PQ608daGr
- %User Temp%\oY0vtai
- %WIndows%\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job
- %Windows%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.
(Remarque :%System Root% est le dossier racine, généralement C:\. Il s'agit également de l'emplacement dans lequel se trouve le système d'exploitation.. %User Profile% est le dossier du profil de l'utilisateur actuel ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur} sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur} sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur} sous Windows 2000, XP et Server 2003.. %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.. %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)
Technique de démarrage automatique
Emploie la commande Registry Shell Spawning afin d''assurer son exécution lors de l''accès à certains types de fichiers en ajoutant les entrées suivantes :
HKEY_CLASSES_ROOT\secfile\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%1" %*"
HKEY_CLASSES_ROOT\.exe\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%1" %*"
HKEY_CLASSES_ROOT\secfile\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%1" %*"
HKEY_CLASSES_ROOT\.exe\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%1" %*"
Autres modifications du système
Ajoute les clés de registre suivantes :
HKEY_CURRENT_USER\Software\NordBull
HKEY_CURRENT_USER\Software\4VDD85L8NF
Ajoute les entrées de registre suivantes :
HKEY_CURRENT_USER\Software\Microsoft\
Windows
Identity = "{hex value}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewall = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = "1"
Modifie les entrées de registre suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"
(Note: The default value data of the said registry entry is 1.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_CLASSES_ROOT\.exe
(Default) = "secfile"
(Note: The default value data of the said registry entry is exefile.)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe""
(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe.)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
safemode\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"
(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe" -safe-mode".)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Internet Explorer\iexplore.exe""
(Note: The default value data of the said registry entry is %Program Files%\Internet Explorer\iexplore.exe.)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe""
(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe.)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
safemode\command
(Default) = ""%Application Data%\ave.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"
(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe" -safe-mode".)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "4"
(Note: The default value data of the said registry entry is 2.)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%Program Files%\Internet Explorer\iexplore.exe""
(Note: The default value data of the said registry entry is %Program Files%\Internet Explorer\iexplore.exe.)