FakeAV.BLV

A FakeAV.BLV trójai vagy kártékony weboldalakon keresztül kerül rá a számítógépekre, vagy elektronikus levelek mellékleteként bukkan fel. Ez utóbbi esetben első ránézésre úgy tűnhet, mintha az email a Microsofttól érkezne, ami azonban csak látszat. Az üzenet egy ingyenesen használható biztonsági alkalmazás telepítésére igyekszik rávenni a felhasználót. A levél mellékletében egy install.zip nevű állomány található, amely az állítólagos védelmi szoftvert tartalmazza. Azonban a valóságban éppen ez a program az ál-antivírus.

A FakeAV.BLV a fertőzött rendszereken számos fájlt hoz létre, és több ponton módosítja a regisztrációs adatbázist. Ezután megjelenít egy teljesen szokványos víruskeresőre emlékeztető alkalmazást, amelynek tulajdonképpen semmi más célja nincs, minthogy a felhasználó megtévesztésével egy teljes verziójú szoftver megvásárlására buzdítson, és hitelkártyaszámot csaljon ki a gyanútlan személyektől.

A hamis biztonsági szoftver egy Antivirus Pro 2010 nevű alkalmazás formájában települ fel a számítógépekre.

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza az alábbi könyvtárakat:
%Program Files%\AntivirusPro_2010
%Program Files%\AntivirusPro_2010\data
%Start Menu%\Programs\AntivirusPro_2010

2, Létrehozza a következő állományokat:
%Application Data%\seres.exe
%Application Data%\svcst.exe
%Start Menu%\Programs\AntivirusPro_2010\AntivirusPro_2010.exe
%Application Data%\doweqomob.pif
%Application Data%\ereqiw.lib
%Application Data%\ewina.pif
%Application Data%\gopocis.sys
%Application Data%\gotekufos.com
%Application Data%\lizkavd.exe
%Application Data%\Microsoft\Internet Explorer\Quick Launch\AntivirusPro_2010.lnk
%Application Data%\seres.exe
%Program Files%\AntivirusPro_2010\AntivirusPro_2010.cfg
%Program Files%\AntivirusPro_2010\AntivirusPro_2010.exe
%Program Files%\AntivirusPro_2010\AVEngn.dll
%Program Files%\AntivirusPro_2010\data\daily.cvd
%Program Files%\AntivirusPro_2010\htmlayout.dll
%Program Files%\AntivirusPro_2010\Microsoft.VC80.CRT
%Program Files%\AntivirusPro_2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
%Program Files%\AntivirusPro_2010\Microsoft.VC80.CRT\msvcm80.dll
%Program Files%\AntivirusPro_2010\Microsoft.VC80.CRT\msvcp80.dll
%Program Files%\AntivirusPro_2010\Microsoft.VC80.CRT\msvcr80.dll
%Program Files%\AntivirusPro_2010\pthreadVC2.dll
%Program Files%\AntivirusPro_2010\Uninstall.exe
%Program Files%\AntivirusPro_2010\wscui.cpl
%Program Files%\Common Files\pota.inf
%Program Files%\Common Files\sepoxexij.scr
%Start Menu%\Programs\AntivirusPro_2010\AntivirusPro_2010.lnk
%Start Menu%\Programs\AntivirusPro_2010\Uninstall.lnk
%System%\_scui.cpl
%System Root%\Documents and Settings\{computer name}\Desktop\AntivirusPro_2010.lnk
%System Root%\Documents and Settings\{computer name}\Local Settings\Application Data\fenum.vbs
%System Root%\Documents and Settings\{computer name}\Local Settings\Application Data\lipelogyc.reg
%System Root%\Documents and Settings\{computer name}\Local Settings\Temporary Internet Files\iwosotixuz.vbs
%System Root%\Documents and Settings\{computer name}\Local Settings\Temporary Internet Files\uwiva._dl
%System Root%\Documents and Settings\All Users\Documents\ikadubo._sy
%System Root%\Documents and Settings\All Users\Documents\visaz.com
%System Root%\Documents and Settings\All Users\Documents\yjowaxe.db
%System Root%\Documents and Settings\All Users\Documents\yzuwan.bin
%Windows%\akonuxak.dat
%Windows%\eqake.bat
%Windows%\isuni.vbs
%Windows%\lozarer.inf
%Windows%\owah.pif
%Windows%\yfife.dl

3. Megjelenít egy ikont a Tálca értesítési ikonjai között.

4. Megjelenít egy hamis víruskeresési ablakot és folyamatot.

5. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_CURRENT_USER\Control Panel\don't load
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusPro_2010

6. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Antivirus Pro 2010 = "%Program Files%\AntivirusPro_2010\AntivirusPro_2010.exe" /hide"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\mserv = "%Application Data%\seres.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "%Application Data%\svcst.exe"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\RunInvalidSignatures = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify = "1"
HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Security Center\UpdatesDisableNotify = "1"

7. Interneten keresztül különböző állományokat tölt le.

8. Újraindítja a fertőzött rendszert.