撰文: Rhena Inocencio   

 :

PWS:Win32/Fareit (Microsoft), Trojan-PSW.Win32.Tepfer.thca (Kaspersky), Win32/PSW.Fareit.A trojan (ESET)

 平台:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :
 資訊暴露評比:

  • 惡意程式類型:
    Spyware

  • 具破壞性:

  • 被加密:

  • In the wild:

  總覽與描述

感染管道: 從互聯網上下載, 下降了其他惡意軟件

要获取此间谍软件行为的简要综述,请参考以下“威胁图”。

然後它會執行所下載的檔案。如此,所下載檔案的惡意常式便會在受影響的系統上顯示。

  詳細技術資訊

檔案大小: 100,022 bytes
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2014年3月11日

到達詳細資訊

它可能是從下列遠端網站所下載:

  • http://{BLOCKED}directory.com/file/olsv.exe

其他系統修改

它會新增下列登錄項目,做為其安裝常式的一部分:

HKEY_CURRENT_USER\Software\WinRAR
HWID = "{random value}"

HKEY_CURRENT_USER\Software\WinRAR
Client Hash = "{random value}"

下載程序

它會存取下列網站以下載檔案:

  • http://{BLOCKED}directory.com/file/win.exe

它使用下列名稱儲存下載的檔案:

  • %User Temp%\{random file name}.exe - TROJ_CRIBIT.B

(注意:%User Temp% 是目前使用者的 Temp 資料夾,通常是 C:\Documents and Settings\{user name}\Local Settings\Temp(Windows 2000、XP 和 Server 2003)。)

然後它會執行所下載的檔案。如此,所下載檔案的惡意常式便會在受影響的系統上顯示。

遭竊取的資訊

它會將所收集的資訊透過 HTTP POST 傳送到下列 URL:

  • http://{BLOCKED}.{BLOCKED}.28.117/gate55.php

  解決方案

最低掃瞄引擎: 9.700
VSAPI OPR 病毒碼版本: 10.673.00
VSAPI OPR 病毒碼發行日期: 2014年3月18日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 3

刪除此登錄值

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

 
  • In HKEY_CURRENT_USER\Software\WinRAR
    • HWID = "{random value}"
  • In HKEY_CURRENT_USER\Software\WinRAR
    • Client Hash = "{random value}"
DATA_TEXTBOX
  • 在右邊的窗格中,尋找並刪除下列項目:
     HKEY_CURRENT_USER>Software>WinRAR&&HWID = "{random value}"||HKEY_CURRENT_USER>Software>WinRAR&&Client Hash = "{random value}"
  • 關閉「登錄編輯程式」。
  • Step 4

    使用您的趨勢科技產品掃瞄電腦,以刪除所偵測到如 TSPY_FAREIT.BB 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


    說說您對安全威脅百科的想法