Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 1328640 байт. Написана на C++.
Инсталляция
После запуска троянец перемещает свое тело в файл:
%Program Files%/InternetSecurity2010/IS2010.exe
Для идентификации своего присутствия в системе троянец создает следующие ключи системного реестра:
[HKCU/Software/IS2010]
"LastVFC" = "25"
"VirList"= "55|41|17|26|33|52|28|10|40|9|39|52|37|12|8|36|44|56|23|36|34|15|15|41|1|55" "LastD" = "1"
Для автоматического запуска своего оригинального файла при каждом следующем старте системы троянец создает следующий ключ системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"Internet Security 2010" = "%Program Files%/InternetSecurity2010/IS2010.exe"
Кроме того, троянец создает ярлыки:
%USERPROFILE%/Start Menu/Internet Security 2010.lnk
%USERPROFILE%/DesktopInternet Security 2010.lnk
%USERPROFILE%/Application Data/Microsoft/Internet Explorer/Quick Launch/Internet Security 2010.lnk
Все ярлыки указывают на файл:
%Program Files%/InternetSecurity2010/IS2010.exe
Далее троянец запускает на выполнение файл "IS2010.exe" и завершает свою работу.
Деструктивная активность
Троянец представляет собой лже-антивирус. После запуска троянец имитирует работу антивирусной программы, отображая на экране следующие окна:
- логотип программы:
- имитация процесса сканирования файловой системы компьютера:
- вывод ложного сообщения о наличии множества вирусов:
- При нажатии на кнопку "Fix my computer" отображается окно ввода ключа активации лже-антивирусной программы:
а также в установленном по умолчанию браузере открывается ссылка:
http://bu***ty10.com/buy/?code=00000000
На данном сайте производится ввод данных для покупки лицензии:
- При попытке включения отключенных функций лже-антивируса, также производится запуск рассмотренного процесса активации:
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить процесс "IS2010.exe".
- Удалить файлы:
%Program Files%/InternetSecurity2010/IS2010.exe
%USERPROFILE%/Start Menu/Internet Security 2010.lnk
%USERPROFILE%/Desktop/Internet Security 2010.lnk
%USERPROFILE%/Application Data/Microsoft/Internet Explorer/Quick Launch/Internet Security 2010.lnk
- Удалить ключи системного реестра:
[HKCU/Software/IS2010]
"LastVFC" = "25"
"VirList"= "55|41|17|26|33|52|28|10|40|9|39|52|37|12|8|36|44|56|23|36|34|15|15|41|1|55" "LastD" = "1"
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"Internet Security 2010" = "%Program Files%/InternetSecurity2010/IS2010.exe"
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|