Trojan.Fakealert.23300 или новый лжеантивирус


Trojan.Fakealert.23300 - троянская программа оснащенная механизмами загрузки и запуска на инфицированной машине исполняемых файлов.

Trojan.Fakealert представляет собой лжеантивирус сообщающий пользователю о наличии на его компьютере вредоносного ПО, для удаления которого требуется приобрести платную версию этого продукта. Задача трояна — напугать пользователя и заставить его заплатить за решение несуществующей проблемы. Trojan.Fakealert.23300 действует совсем иначе.

В апреле 2011 года через бот-сеть BlackEnergy начала распространяться спам-рассылка, в сообщения которой был вложен ZIP-архив с трояном Trojan.DownLoad.64325, который загружал и запускал на компьютере пользователя Trojan.Fakealert.23300. Сами "письма счастья" содержали информацию о посылке, которая якобы вскоре будет доставлена получателю послания.

zip arhiv s troyanom

Запустившись на компьютере жертвы, Trojan.Fakealert.23300 копирует себя в папку

  • C:\Documents and Settings\All Users\Application Data\

под именем

  • qWTmtLDywFob.exe

и вносит ряд изменений в системный реестр с целью отключить Диспетчер задач и прописать ссылку на указанный выше исполняемый файл в ветке, отвечающей за автозагрузку приложений. Кроме того, троян проверяет языковую версию операционной системы: если Windows имеет русскую, польскую, украинскую или чешскую локализацию, Trojan.Fakealert.23300 прекращает свою работу. В ресурсах трояна содержатся версии отображаемых им сообщений на нескольких языках, в том числе на английском, немецком и французском.

После успешного запуска Trojan.Fakealert.23300 останавливает процесс антивирусной программы Microsoft Security Essentials, проверяет, не запущен ли он в виртуальной машине (в этом случае троянец прекращает свою работу), отключает проверку электронной цифровой подписи для загруженных программ и сохранение зоны, откуда был запущен файл, а также устанавливает пониженный рейтинг опасности файлам с расширениями .zip; .rar; .nfo; .txt; .exe; .bat; .com; .cmd; .reg; .msi; .htm; .html; .gif; .bmp; .jpg; .avi; .mpg; .mpeg; .mov; .mp3; .m3u; .wav; .scr.

Затем троян:

  • отключает в настройках Проводника демонстрацию скрытых и системных файлов;
  • запрещает пользователю смену обоев Рабочего стола Windows (вместо них устанавливается черная заливка);
  • очищает список последних открытых документов в Главном меню;
  • прячет значки в Панели быстрого запуска и меню "Пуск";


после чего демонстрирует на экране сообщение об ошибке жесткого диска и предлагает выполнить его проверку с помощью специальной утилиты.

spec utilita spec utilita 1

Вслед за этим троян должен сохранить на диск файл из собственных ресурсов, содержащий ту самую "утилиту для проверки винчестера".

Предполагается, что утилита выполнит "проверку" диска, обнаружит на нем "ошибки", после чего предложит пользователю приобрести полную версию этой программы, которая якобы позволит их исправить.

По всей видимости, именно такой функционал закладывали в Trojan.Fakealert.23300 его разработчики. Однако благодаря допущенным в его коде ошибкам данная функция не работает в полученном вирусной лабораторией образце (впрочем, это совершенно не означает, что она не будет работать в других модификациях).

interfeis utilit 1 interfeis utilit 2 interfeis utilit 3

Trojan.Fakealert.23300 способен загружать зашифрованные исполняемые файлы и запускать их на инфицированном компьютере. В настоящее время он скачивает с удаленного узла троянец семейства TDSS. Специалисты полагают, что Trojan.Fakealert.23300 создан с использованием специального конструктора. Следовательно, в ближайшем будущем можно ожидать появления новых модификаций этой вредоносной программы.

В последнее время наблюдается отчетливая тенденция расширения функциональности угроз семейства Trojan.Fakealert, а также комбинирования свойств лжеантивирусов с вредоносными программами других типов. В частности:

  • образцы троянских программ семейства Trojan.MulDrop;
  • приложения Trojan.MulDrop2.54093, которое при запуске демонстрирует на экране окно лжеантивируса, но при этом устанавливает на зараженный компьютер извлеченную из собственного исполняемого файла вредоносную программу.