Modificado por: : Kathleen Notario

 

Rogue:Win32/FakeRean (Microsoft); FakeAlert-MY (McAfee)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
    Não

  • In the Wild:
    Sim

  Visão geral

Ele emprega a recriação do shell do registro, adicionando determinadas entradas de registro. Isso permite que esse malware seja executado, mesmo quando outros aplicativos estejam abertos.

  Detalhes técnicos

Tipo de compactação: 189,952 bytes
Tipo de arquivo: EXE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 23 de diciembre de 2009

Instalao

Ele deixa os seguintes arquivos:

  • %Application Data%\1gx8VwiF

(Observação: %Application Data% é a pasta de dados de aplicativos do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Application Data, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Application Data, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Local Settings\Application Data, no Windows 2000, XP e Server 2003.)

Ele deixa as seguintes cópias dele mesmo no sistema infectado:

  • %Application Data%\av.exe

(Observação: %Application Data% é a pasta de dados de aplicativos do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Application Data, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Application Data, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Local Settings\Application Data, no Windows 2000, XP e Server 2003.)

Tcnica de inicializao automtica

Ele emprega a recriação do shell do registro para garantir sua execução quando certos tipos de arquivo forem acessados, adicionando as seguintes entradas:

HKEY_CLASSES_ROOT\secfile\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%1" %*"

Outras modificaes no sistema

Ele adiciona as seguintes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows
Identity = "{hex value}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewall = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = "1"

Ele modifica as seguintes entradas de registro:

HKEY_CLASSES_ROOT\.exe
(Default) = "secfile"

(Note: The default value data of the said registry entry is exefile.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe""

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
safemode\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"

(Note: The default value data of the said registry entry is "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Internet Explorer\iexplore.exe""

(Note: The default value data of the said registry entry is %Program Files%\Internet Explorer\iexplore.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "1"

(Note: The default value data of the said registry entry is 0.)

  Solução

Mecanismo de varredura mínima: 9.200
Primeiro arquivo padrão VSAPI: 6.710.08
Data do lançamento do primeiro padrão VSAPI: 23 de diciembre de 2009
VSAPI OPR Pattern Version: 6.711.00
VSAPI OPR Pattern veröffentlicht am: 23 de diciembre de 2009

Step 1

Para os usuários do Windows ME e XP, antes de realizar qualquer varredura, verifique se você desabilitou a Restauração do Sistema para permitir a varredura completa do computador.

Step 2

Identifique e feche os arquivos detectados como TROJ_FAKEAV.EAZ.

[ Saber mais ]
  1. Para usuários de Windows 98 e ME, o Gerenciador de Tarefas do Windows talvez não exiba todos os processos em execução. Neste caso, use um visualizador de processos de terceiros, preferencialmente o Process Explorer, para fechar o arquivo do malware/grayware/spyware. Você pode baixar a ferramenta mencionada aqui.
  2. Se o arquivo detectado for exibido no Gerenciador de Tarefas do Windows ou no Process Explorer, mas você não conseguir excluí-lo, reinicie seu computador em modo de segurança. Para isso, consulte esse link para ver todas as etapas.
  3. Se o arquivo detectado não for exibido no Gerenciador de Tarefas ou no Process Explorer, continue realizando as próximas etapas.

Step 3

Restaure este valor modificado de registro

[ Saber mais ]

Importante: Editar o Registro do Windows de maneira incorreta pode causar danos irreversíveis ao sistema. Realize esta etapa apenas se você tiver conhecimento ou tiver como pedir ajuda ao administrador do seu sistema. Ou então, verifique primeiro este artigo da Microsoft antes de modificar o registro do seu computador.

  • HKEY_CLASSES_ROOT\secfile\shell\open\command
  • HKEY_CLASSES_ROOT\.exe\shell\open\command

Step 4

Exclua esse valor do registro

[ Saber mais ]

Importante: Editar o Registro do Windows de maneira incorreta pode causar danos irreversíveis ao sistema. Realize esta etapa apenas se você tiver conhecimento ou tiver como pedir ajuda ao administrador do seu sistema. Ou então, verifique primeiro este artigo da Microsoft antes de modificar o registro do seu computador.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows
    • Identity = "{hex value}"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
    • EnableFirewall = "0"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
    • DoNotAllowExceptions = "0"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
    • DisableNotifications = "1"

Step 5

Restaure este valor modificado de registro

[ Saber mais ]

Importante: Editar o Registro do Windows de maneira incorreta pode causar danos irreversíveis ao sistema. Realize esta etapa apenas se você tiver conhecimento ou tiver como pedir ajuda ao administrador do seu sistema. Ou então, verifique primeiro este artigo da Microsoft antes de modificar o registro do seu computador.

  • In HKEY_CLASSES_ROOT\.exe
    • From: (Default) = "secfile"
      To: (Default) = "exefile"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
    • From: (Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe""
      To: (Default) = "%Program Files%\Mozilla Firefox\firefox.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command
    • From: (Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"
      To: (Default) = ""%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
    • From: (Default) = ""%Application Data%\av.exe" /START "%Program Files%\Internet Explorer\iexplore.exe""
      To: (Default) = "%Program Files%\Internet Explorer\iexplore.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • From: AntiVirusDisableNotify = "1"
      To: AntiVirusDisableNotify = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • From: FirewallDisableNotify = "1"
      To: FirewallDisableNotify = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • From: UpdatesDisableNotify = "1"
      To: UpdatesDisableNotify = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • From: AntiVirusOverride = "1"
      To: AntiVirusOverride = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • From: FirewallOverride = "1"
      To: FirewallOverride = "0"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
    • From: Start = "4"
      To: Start = "2"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • From: EnableFirewall = "0"
      To: EnableFirewall = "1"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • From: DisableNotifications = "1"
      To: DisableNotifications = "0"

Step 6

Pesquise e exclua esse arquivo

[ Saber mais ]
Pode ser que alguns arquivos de componente estejam ocultos. Verifique se a caixa de seleção Pesquisar pastas e arquivos ocultos em 'Mais opções avançadas' está marcada para incluir todas as pastas e arquivos ocultos no resultado da pesquisa.
  • %Application Data%\1gx8VwiF

Step 7

Faça uma varredura em seu computador com o produto Trend Micro para excluir os arquivos detectados como TROJ_FAKEAV.EAZ Se os arquivos detectados já tiverem sido limpos, excluídos ou colocados em quarentena pelo seu produto da Trend Micro, nada mais é necessário. Você pode optar por simplesmente excluir os arquivos em quarentena. Para obter mais informações, verifique a página da Base de Conhecimento.


Participe da nossa pesquisa!