Признаки:
Программа должна быть установлена пользователем вручную; никаких самостоятельных действий по своей установке она не производит. При установке создаются следующие файлы:
* %ProgramFiles%\VirusRemover2008\VRM2008.exe - (определяется VirusRemover2008)
* %ProgramFiles%\VirusRemover2008\Viruses.bdt - (пустой файл)
* %SystemDrive%\VirusRemover2008.lnk
* %SystemDrive%\Documents and Settings\Administrator\Desktop\VirusRemover2008.lnk
* %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\VirusRemover2008
* %SystemDrive%\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\VirusRemover2008.lnk
(%ProgramFiles% - директория для установки приложений по умолчанию; %SystemDrive% - системный диск, обычно "C:")
Делает в реестре запись, обеспечивающую автозагрузку при каждом старте системы:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"VirusRemover2008" = "%ProgramFiles%\VirusRemover2008\VRM2008.exe"
В реестре создаются также следующие записи:
* HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"ActivationCode" = "36"
* HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"CookieParams" = "29"
* HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"InfectionCount" = "4"
* HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"InstallDate" = "16"
* HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"LastDetectTime" = "[RANDOM HEXIDECIMAL STRING]"
* HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"LastScanTime" = "[RANDOM HEXIDECIMAL STRING]"
* HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"TotalScanCount" = "4"
* HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"UpdateEnabled" = "1"
* HKEY_LOCAL_MACHINE\SOFTWARE\{5222008A-DD62-49c7-A735-7BD18ECC7350}
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusRemover2008
ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие:
Фальшивый антивирус для платформы Windows. Сообщает о наличии на компьютере вредоносных программ, которые на самом деле не существуют, и предлагает оплатить полную версию для их удаления.
Разработчик: NewBonn, Inc.; название: VirusRemover2008.
Безопасность в интернете, то что должен знать каждый человек у которого есть компьютер! Информация будет полезна для администраторов, занимающихся обеспечением безопасности сетей, для программистов, стремящихся к созданию защищенных приложений, а также для всех тех, кто интересуется вопросами сетевой защиты.
0 коментарии:
Оставить коментарий