Trojan.Fakealert представляет собой лжеантивирус, который при запуске сообщает пользователю о наличии на его компьютере вредоносного программного обеспечения, для удаления которого требуется приобрести платную версию этого «продукта». В большинстве случаев никаких вредоносных программ, кроме самого Trojan.Fakealert, на компьютере нет. Существует множество разновидностей подобных “антивирусов”, которые отличаются названием, оформлением и количеством ‘определяемых” ими “угроз”, но большинство из них действуют по одной и той же схеме: их задача напугать пользователя и заставить его заплатить за решение несуществующей проблемы. А Trojan.Fakealert.23300 действует несколько иначе.
В апреле 2011 года через бот-сеть BlackEnergy начала распространяться спам-рассылка, в сообщения которой был вложен ZIP-архив с троянцем Trojan.DownLoad.64325. Он, в свою очередь, загружал и запускал на компьютере пользователяTrojan.Fakealert.23300. Сами «письма счастья» содержали информацию о посылке, которая якобы вскоре будет доставлена получателю послания.
Запустившись на компьютере жертвы, Trojan.Fakealert.23300 копирует себя в папку C:\Documents and Settings\All Users\Application Data\ под именем qWTmtLDywFob.exe и вносит ряд изменений в системный реестр с целью отключить Диспетчер задач и прописать ссылку на указанный выше исполняемый файл в ветке, отвечающей за автозагрузку приложений. Кроме того, троянец проверяет языковую версию операционной системы: если Windows имеет русскую, польскую, украинскую или чешскую локализацию,Trojan.Fakealert.23300 прекращает свою работу. В ресурсах троянца содержатся версии отображаемых им сообщений на нескольких языках, в том числе на английском, немецком и французском.
После успешного запуска Trojan.Fakealert.23300 останавливает процесс антивирусной программы Microsoft Security Essentials, проверяет, не запущен ли он в виртуальной машине (в этом случае троян прекращает свою работу), отключает проверку электронной цифровой подписи для загруженных программ и сохранение зоны, откуда был запущен файл, а также устанавливает пониженный рейтинг опасности файлам с расширениями .zip; .rar; .nfo; .txt; .exe; .bat; .com; .cmd; .reg; .msi; .htm; .html; .gif; .bmp; .jpg; .avi; .mpg; .mpeg; .mov; .mp3; .m3u; .wav; .scr. Затем троян отключает в настройках Проводника демонстрацию скрытых и системных файлов, запрещает пользователю смену обоев Рабочего стола Windows (вместо них устанавливается черная заливка), очищает список последних открытых документов в Главном меню, прячет значки в Панели быстрого запуска и меню «Пуск», после чего демонстрирует на экране сообщение об ошибке жесткого диска и предлагает выполнить его проверку с помощью специальной утилиты.
Вслед за этим троянец должен сохранить на диск файл из собственных ресурсов, содержащий ту самую «утилиту для проверки винчестера». Предполагается, что утилита выполнит «проверку» диска, обнаружит на нем «ошибки», после чего предложит пользователю приобрести полную версию этой программы, которая якобы позволит их исправить. По крайней мере, именно такой функционал, по всей видимости, закладывали вTrojan.Fakealert.23300 его разработчики. Однако благодаря допущенным в его коде ошибкам данная функция не работает в полученном вирусной лабораторией образце (впрочем, это совершенно не означает, что она не будет работать в других модификациях).
Trojan.Fakealert.23300 способен загружать зашифрованные исполняемые файлы и запускать их на инфицированном компьютере: в настоящее время он скачивает с удаленного узла троянец семейства TDSS. Есть основания полагать, чтоTrojan.Fakealert.23300 создан с использованием специального конструктора. Следовательно, в ближайшем будущем можно ожидать появления новых модификаций этой вредоносной программы.
В последнее время наблюдается отчетливая тенденция расширения функциональности угроз семейства Trojan.Fakealert, а также комбинирования свойств лжеантивирусов с вредоносными программами других типов. В частности, в антивирусную лабораторию «Доктор Веб» регулярно поступают образцы троянских программ семейства Trojan.MulDrop, наподобие приложенияTrojan.MulDrop2.54093, которое при запуске демонстрирует на экране окно лжеантивируса, но при этом обладает другим вредоносным функционалом: устанавливает на зараженный компьютер извлеченную из собственного исполняемого файла вредоносную программу. Сигнатуры данных угроз добавлены в вирусные базы Dr.Web. В целях безопасности не забывайте регулярно осуществлять сканирование жестких дисков вашего компьютера.
expert.com.ua
