MalwareProtector2008

Признаки:
При старте создает следующие файлы:
* %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Malware Protector 2008.lnk
* %UserProfile%\Application Data\shcev9j0e1b1
* C:\Documents and Settings\All Users\Desktop\Malware Protector 2008.lnk
* C:\Documents and Settings\All Users\Start Menu\Programs\Malware Protector 2008\How to Register Malware Protector 2008.lnk
* C:\Documents and Settings\All Users\Start Menu\Programs\Malware Protector 2008\License Agreement.lnk
* C:\Documents and Settings\All Users\Start Menu\Programs\Malware Protector 2008\Malware Protector 2008.lnk
* C:\Documents and Settings\All Users\Start Menu\Programs\Malware Protector 2008\Register Malware Protector 2008.lnk
* C:\Documents and Settings\All Users\Start Menu\Programs\Malware Protector 2008\Uninstall.lnk
* C:\Documents and Settings\All Users\Start Menu\Programs\Malware Protector 2008.lnk
* %ProgramFiles%\shcev9j0e1b1\database.dat
* %ProgramFiles%\shcev9j0e1b1\license.txt
* %ProgramFiles%\shcev9j0e1b1\MFC71.dll
* %ProgramFiles%\shcev9j0e1b1\MFC71ENU.DLL
* %ProgramFiles%\shcev9j0e1b1\msvcp71.dll
* %ProgramFiles%\shcev9j0e1b1\msvcr71.dll
* %ProgramFiles%\shcev9j0e1b1\shcev9j0e1b1.exe
* %ProgramFiles%\shcev9j0e1b1\shcev9j0e1b1.exe.local
* %ProgramFiles%\shcev9j0e1b1\shcev9j0e1b1Skin.dll
* %ProgramFiles%\shcev9j0e1b1\Uninstall.exe


(Примечание: %ProgramFiles% - директория, куда по умолчанию устанавливаются приложения, %UserProfile% - директория, содержащая системные данные текущего пользователя)

После установки удаляет инсталлятор.

Создает в реестре ключ, обеспечивающий автозагрузку при каждом старте Windows:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SMshcev9j0e1b1" = "C:\Program Files\shcev9j0e1b1\shcev9j0e1b1.exe"


Создает также следующие записи в реестре:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\shcev9j0e1b1\"DisplayName" = "MProtector"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\shcev9j0e1b1\"UninstallString" = "C:\Program Files\shcev9j0e1b1\uninstall.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"RegistrationUrl" = "http://www.malwareprotector2008.com/buy/"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"RegistrationDiscUrl" = "http://www.malwareprotector2008.com/purchase/"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"ADVid" = ""
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"" = "C:\Program Files\shcev9j0e1b1"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"InstallDir" = "C:\Program Files\shcev9j0e1b1"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"domain" = "malwareprotector2008.com"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"SoftID" = "MProtector"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"DatabaseVersion" = "2.1"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"ProgramVersion" = "2.1"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"EngineVersion" = "2.1"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"GuiVersion" = "2.1"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"ProxyName" = ""
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"ProxyPort" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"ScanPriority" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"DaysInterval" = "7"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"ScanDepth" = "2"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"ScanSystemOnStartup" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"AutomaticallyUpdates" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"MinimizeOnStart" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"BackgroundScan" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"BackgroundScanTimeout" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"MGuid" = "{0DB56EFC-EE39-447F-94AB-73409F51AC2E}"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"InstallationID" = "{F2D62961-6358-4CCF-B806-7664421D16B2}"
* HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\"LastTimeStamp" = "B8"
* HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\"C:\Program Files\shcev9j0e1b1\shcev9j0e1b1.exe" = "shcev9j0e1b1"

Интерфейс имитирует Advanced XP Defender.


ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)


Действие:
Приложение для платформы Windows, заявленное как средство защиты от вредоносных программ. После сканирования системы сообщает о якобы найденных, а на самом деле - несуществующих, вредоносных программах, с целью заставить пользователя заплатить за ключ к якобы лицензионной версии.

В отличие от других приложений подобного типа, также сообщает о вредоносном коде, успешно удаленном из системы, и угрожает установить его обратно, если пользователь попытается деинсталлировать приложение.

Название приложения: Malware Protector 2008.
Разработчик: malwareprotector2008.com.
Версия: 2.1.