FakeRean, Renos, FakeAlert, FakeAlerter, Renos, FraudPack

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild:
    Oui

  Overview

Voie d'infection: Téléchargé à partir d'Internet, Via les sites de réseautage social, Lâché par un autre malware, Transmis sous forme de spam via le courrier électronique

Emploie un système de génération de registre essentiel en ajoutant certaines entrées de registre. Cela permet à ce programme malveillant de s''exécuter même lorsque d''autres applications sont ouvertes.

  Détails techniques

Memory resident: Oui
Charge malveillante: Displays fake alerts

Installation

Introduit les duplicats suivants au sein du système affecté.

  • %Application Data%\av.exe
  • %Application Data%\ave.exe
  • %Windows%\msa.exe

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.. %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)

Introduit les fichiers suivants :

  • %Application Data%\1S7p66
  • %Application Data%\1gx8VwiF
  • %Application Data%\3pxrV41BG
  • %Application Data%\Oiitd0ys0jFnW
  • %Application Data%\PQ608daGr
  • %Application Data%\U0k0MQl
  • %Application Data%\g1oOP77
  • %Application Data%\oY0vtai
  • %System Root%\Documents and Settings\All Users\Application Data\1S7p66
  • %System Root%\Documents and Settings\All Users\Application Data\PQ608daGr
  • %System Root%\Documents and Settings\All Users\Application Data\oY0vtai
  • %User Profile%\Templates\1S7p66
  • %User Profile%\Templates\PQ608daGr
  • %User Profile%\Templates\oY0vtai
  • %User Temp%\1S7p66
  • %User Temp%\PQ608daGr
  • %User Temp%\oY0vtai
  • %WIndows%\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job
  • %Windows%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.

(Remarque :%System Root% est le dossier racine, généralement C:\. Il s'agit également de l'emplacement dans lequel se trouve le système d'exploitation.. %User Profile% est le dossier du profil de l'utilisateur actuel ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur} sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur} sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur} sous Windows 2000, XP et Server 2003.. %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.. %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)

Technique de démarrage automatique

Emploie la commande Registry Shell Spawning afin d''assurer son exécution lors de l''accès à certains types de fichiers en ajoutant les entrées suivantes :

HKEY_CLASSES_ROOT\secfile\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%1" %*"

HKEY_CLASSES_ROOT\secfile\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%1" %*"

Autres modifications du système

Ajoute les clés de registre suivantes :

HKEY_CURRENT_USER\Software\NordBull

HKEY_CURRENT_USER\Software\4VDD85L8NF

Ajoute les entrées de registre suivantes :

HKEY_CURRENT_USER\Software\Microsoft\
Windows
Identity = "{hex value}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewall = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = "1"

Modifie les entrées de registre suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_CLASSES_ROOT\.exe
(Default) = "secfile"

(Note: The default value data of the said registry entry is exefile.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe""

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
safemode\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe" -safe-mode".)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Internet Explorer\iexplore.exe""

(Note: The default value data of the said registry entry is %Program Files%\Internet Explorer\iexplore.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe""

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
safemode\command
(Default) = ""%Application Data%\ave.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe" -safe-mode".)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%Program Files%\Internet Explorer\iexplore.exe""

(Note: The default value data of the said registry entry is %Program Files%\Internet Explorer\iexplore.exe.)