FakeRean, Renos, FakeAlert, FakeAlerter, Renos, FraudPack

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Baixados da Internet, Via sites de redes sociais, Caiu por outro malware

Ele emprega a recriação do shell do registro, adicionando determinadas entradas de registro. Isso permite que esse malware seja executado, mesmo quando outros aplicativos estejam abertos.

  Detalhes técnicos

Residente na memória: Sim
Carga útil: Displays fake alerts

Instalao

Ele deixa as seguintes cópias dele mesmo no sistema infectado:

  • %Application Data%\av.exe
  • %Application Data%\ave.exe
  • %Windows%\msa.exe

(Observação: %Application Data% é a pasta de dados de aplicativos do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Application Data, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Application Data, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Local Settings\Application Data, no Windows 2000, XP e Server 2003.. %Windows% é a pasta do Windows, que geralmente é C:\Windows ou C:\WINNT).

)

Ele deixa os seguintes arquivos:

  • %Application Data%\1S7p66
  • %Application Data%\1gx8VwiF
  • %Application Data%\3pxrV41BG
  • %Application Data%\Oiitd0ys0jFnW
  • %Application Data%\PQ608daGr
  • %Application Data%\U0k0MQl
  • %Application Data%\g1oOP77
  • %Application Data%\oY0vtai
  • %System Root%\Documents and Settings\All Users\Application Data\1S7p66
  • %System Root%\Documents and Settings\All Users\Application Data\PQ608daGr
  • %System Root%\Documents and Settings\All Users\Application Data\oY0vtai
  • %User Profile%\Templates\1S7p66
  • %User Profile%\Templates\PQ608daGr
  • %User Profile%\Templates\oY0vtai
  • %User Temp%\1S7p66
  • %User Temp%\PQ608daGr
  • %User Temp%\oY0vtai
  • %WIndows%\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job
  • %Windows%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

(Observação: %Application Data% é a pasta de dados de aplicativos do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}\Application Data, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}\Application Data, no Windows NT; e C:\Documents and Settings\{nome do usuário}\Local Settings\Application Data, no Windows 2000, XP e Server 2003.. %System Root% é a pasta raiz que, geralmente, é C:\. Também é o local em que se encontra o sistema operacional.. %User Profile% é a pasta do perfil do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}, no Windows NT; e C:\Documents and Settings\{nome do usuário}, no Windows 2000, XP e Server 2003.. %User Temp% é a pasta temporária do usuário atual, que geralmente é C:\Documents and Settings\{nome do usuário}\Local Settings\Temp no Windows 2000, XP e Server 2003.. %Windows% é a pasta do Windows, que geralmente é C:\Windows ou C:\WINNT).

)

Tcnica de inicializao automtica

Ele emprega a recriação do shell do registro para garantir sua execução quando certos tipos de arquivo forem acessados, adicionando as seguintes entradas:

HKEY_CLASSES_ROOT\secfile\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%1" %*"

HKEY_CLASSES_ROOT\secfile\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%1" %*"

Outras modificaes no sistema

Adiciona estas chaves de registro:

HKEY_CURRENT_USER\Software\NordBull

HKEY_CURRENT_USER\Software\4VDD85L8NF

Ele adiciona as seguintes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows
Identity = "{hex value}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewall = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = "1"

Ele modifica as seguintes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_CLASSES_ROOT\.exe
(Default) = "secfile"

(Note: The default value data of the said registry entry is exefile.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe""

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
safemode\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe" -safe-mode".)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Internet Explorer\iexplore.exe""

(Note: The default value data of the said registry entry is %Program Files%\Internet Explorer\iexplore.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe""

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
safemode\command
(Default) = ""%Application Data%\ave.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe" -safe-mode".)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%Program Files%\Internet Explorer\iexplore.exe""

(Note: The default value data of the said registry entry is %Program Files%\Internet Explorer\iexplore.exe.)