Wykorzystując siłę marki co jakiś czas pojawia się rogueware, które stara się skutecznie udawać prawdziwą aplikację. Tym razem próbują naśladować nasz produkt – AVG Anti-Virus 2011. Z tego co w temacie znalazłem jest również świeża podróbka Microsoftowego Security Essentials ale oprócz wzmianki żadnych szczegółów nie znalazłem.
Przyjrzyjmy się bliżej tej nędznej podróbce i dowiedzcie się jak w przypadku infekcji sobie z tym poradzić.
Po pierwsze jak wygląda:
Nijak ma się to do naszego prawdziwego interfejsu.
Kolejna sprawa – fałszywka będzie nas zachęcać do skanowania systemu i oczywiście stwierdzi, że nasz komputer jest zainfekowany. Wyniki skanowania można śmiało zignorować. W kilku testowanych przypadkach zawsze przedstawiane są takie same wyniki.
Oprócz alertów „skanera” antywirusowego regularnie będą się pojawiały informacje o próbach ataku na nasz komputer np.:
Warning! Identity theft attempt detected!
Attacker IP: <random IP address>
Attack Target: Microsoft Corp. Keys
Description: Remote host tries to get access to your personal information.
Próby zainstalowania większości znanych programów antywirusowych czy anti-malware kończy się alertem o wykryciu infekcji i próba instalacji zostaje zablokowana:
Warning! Active Virus Detected!
Threat Detected: Email-Worm.Zhelatin
Infected file: <random file name>
Action taken: Application Blocked
Description: Worm Email-Worm.Zhelatin.vy is virus-like malware with destructive code, and is able to mutate, replacing its own code by itself. This makes Email-Worm.Zhelatin.vy very dangerous, hard to find, and difficult to delete. Like most viruses, worm Email-Worm-Zhelatin.vy may spread to other computers by secretly emailing themselves to Internet users in your address book.
Kolejny objaw to zablokowanie przeglądarki. Próba uruchomienia przeglądarki wyświetla w niej alert, że komputer jest zainfekowany i przeglądarkę można uruchomić tylko w trybie awaryjnym:
About Internet Explorer Emergency Mode
Your PC is infected with malicious software and browse couldn’t be launched
You may use Internet Explorer in Emergency mode – internal service browser of Microsoft Windows system with limited usability.
Notice: Some sites refuse connection with Internet Explorer in Emergency Mode. In such case system warning page will be showed to you.
Jeśli masz zainstalowane prawdziwe AVG w systemie to do infekcji nie dojdzie – fake jest wykrywany przez bazy wirusów jako Trojan.FakeAV family.
Jak to usunąć?
Uruchamiając komputer z płytki ratunkowej AVG RescueCD. Po uruchomieniu płytki ratunkowej wykonaj aktualizację i przeprowadź pełne skanowanie systemu.
Jeśli nie radzisz sobie z płytkami bootowalnymi możesz uruchomić komputer w trybie awaryjnym z obsługą sieci, użyć po pierwsze narzędzia Rkill do zabicia procesu avg.exe, który uruchamia infekcja. Po tym pobierz AVG Free, zainstaluj, wykonaj pełne skanowanie systemu.
Objawy infekcji tym rogueware to utworzone pliki:
c:Documents and SettingsAll UsersStart MenuAVG Antivirus 2011
c:Documents and SettingsAll UsersStart MenuAVG Antivirus 2011AVG Antivirus 2011.lnk
c:Documents and SettingsAll UsersStart MenuAVG Antivirus 2011Uninstall.lnk
c:Program FilesAVG Antivirus 2011
c:Program FilesAVG Antivirus 2011avg.exe
c:WINDOWSsystem32iesafemode.exe
%UserProfile%DesktopAVG Antivirus 2011.lnk
%Temp%OQ4C92F6.exe
Klucze rejestru:
HKEY_CURRENT_USERSoftwareA88246
HKEY_CURRENT_USERSoftwareMon246
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionschrome.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsfirefox.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsiexplore.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsopera.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssafari.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun „AVG Antivirus 2011” = 'C:Program FilesAVG Antivirus 2011avg.exe’
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet Settings5.0User AgentPost Platform „WinNT-A8I 28.01.2011”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionschrome.exe „Debugger” = 'iesafemode.exe -sb’
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsfirefox.exe „Debugger” = 'iesafemode.exe -sb’
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsiexplore.exe „Debugger” = 'iesafemode.exe -sb’
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsopera.exe „Debugger” = 'iesafemode.exe -sb’
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssafari.exe „Debugger” = 'iesafemode.exe -sb’
___
Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Wykorzystaj wielofunkcyjny antywirus AVG do pełnej ochrony Twojego komputera.
