Win 7 Security 2012 e XP Home Security 2012 – Trojan FakeAlert

O nome do produto varia conforme o sistema operacional onde o mesmo tenha sido instalado. No Windows XP, ele se instala como XP Home Security 2012. No Windows Vista, como Vista Security 2012 e no Windows 7, como Win 7 Security 2012.

File: calc.exe  Size: 335872  MD5:  8F50E78575A3392F53DF7E9646E820C1

hxxp://******************.net/d.php?f=28&e=2
File: calc.exe
Size: 335872
MD5:  8F50E78575A3392F53DF7E9646E820C1
Análise no Virus Total


  • Cria os seguintes arquivos:



Windows XP:
%userprofile%\configurações locais\dados de aplicativos\tmc.exe
%userprofile%\configurações locais\dados de aplicativos\f81tf5tx3c04jfc55j58m54f4cs7
%allusersprofile%\Dados de aplicativos\f81tf5tx3c04jfc55j58m54f4cs7

Windows Vista+ 32 e 64 bits:
%localappdata%\tmc.exe
%localappdata%\f81tf5tx3c04jfc55j58m54f4cs7
%ProgramData%\f81tf5tx3c04jfc55j58m54f4cs7

File:tmc.exe
Size: 335872
MD5: 8F50E78575A3392F53DF7E9646E820C1

Observe pelo MD5 que esse arquivo é cópia do próprio instalador. O nome do arquivo também pode variar de máquina para máquina, mas sempre formado por 3 letras aleatórias, com extensão .EXE.

  • Deleta as seguintes chaves:


Windows XP e Vista+ 32 bits:
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WUAUSERV]
[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]

Windows Vista+ 64 bits:
[HKLM\SYSTEM\CurrentControlSet\services\WinDefend]
[HKLM\SYSTEM\CurrentControlSet\services\wscsvc]

  • Cria as seguintes chaves:


Windows XP e Vista+ 32 e 64 bits:
[HKCU\Software\Classes\.exe]
[HKCU\Software\Classes\exefile]
[HKU\S-1-5-21-*********-*********-*********-****_Classes\.exe]
[HKU\S-1-5-21-*********-*********-*********-****_Classes\exefile]

  • Adiciona os seguintes valores:


Windows XP e Vista+ 32 e 64 bits:
[HKCU\Software\Microsoft\Windows]
“Identity”=dword:76a2c226
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
“541001975″=“C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\tmc.exe”
[HKCU\Software\Classes\.exe]
@=”exefile”
“Content Type”=”application/x-msdownload”

[HKCU\Software\Classes\.exe\DefaultIcon]
@=”%1″
[HKCU\Software\Classes\.exe\shell\open\command]
@=”\”C:\\Documents and Settings\\Administrador\\Configurações locais\\Dados de aplicativos\\tmc.exe\” -a \”%1\” %*”
“IsolatedCommand”=”\”%1\”%*”

[HKCU\Software\Classes\.exe\shell\runas\command]
@=”\”%1\”%*”
“IsolatedCommand”=”\”%1\”%*”

[HKCU\Software\Classes\exefile]
@=”Application”
“Content Type”=”application/x-msdownload”

[HKCU\Software\Classes\exefile\DefaultIcon]
@=”%1″
[HKCU\Software\Classes\exefile\shell\open\command]
@=”\”C:\\Documents and Settings\\Administrador\\Configurações locais\\Dados de aplicativos\\tmc.exe\” -a \”%1\” %*”
“IsolatedCommand”=”\”%1\” %*”

[HKCU\Software\Classes\exefile\shell\runas\command]
@=”\”%1\”%*”
“IsolatedCommand”=”\”%1\” %*”

[HKU\S-1-5-21-*********-*********-*********-****_Classes\.exe]
@=”exefile”
“Content Type”=”application/x-msdownload”

[HKU\S-1-5-21-*********-*********-*********-****_Classes\.exe\DefaultIcon]
@=”%1″
[HKU\S-1-5-21-*********-*********-*********-****_Classes\.exe\shell\open\command]
@=”\”C:\\Documents and Settings\\Administrador\\Configurações locais\\Dados de aplicativos\\tmc.exe\” -a \”%1\” %*”
“IsolatedCommand”=”\”%1\” %*”

[HKU\S-1-5-21-*********-*********-*********-****_Classes\.exe\shell\runas\command]
@=”\”%1\”%*”
“IsolatedCommand”=”\”%1\” %*”

[HKU\S-1-5-21-*********-*********-*********-****_Classes\exefile]
@=”Application”
“Content Type”=”application/x-msdownload”

[HKU\S-1-5-21-*********-*********-*********-****_Classes\exefile\DefaultIcon]
@=”%1″
[HKU\S-1-5-21-*********-*********-*********-****_Classes\exefile\shell\open\command]
@=”\”C:\\Documents and Settings\\Administrador\\Configurações locais\\Dados de aplicativos\\tmc.exe\” -a \”%1\” %*”
“IsolatedCommand”=”\”%1\” %*”

[HKU\S-1-5-21-*********-*********-*********-****_Classes\exefile\shell\runas\command]
@=”\”%1\” %*”
“IsolatedCommand”=”\”%1\” %*”

No Windows Vista+ 32 bits, além dos valores acima, adiona mais este:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached]
“{05D7B0F4-2121-4EFF-BF6B-ED3F69B894D9} {000214E6-0000-0000-C000-000000000046}”= Dados binários

  • Altera os dados dos valores abaixo, modificando-os para:


Windows XP e Vista+ 32 e 64 bits:
[HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command]
@=””C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\tmc.exe” -a “C:\Arquivos de programas\Mozilla Firefox\firefox.exe””
[HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command]
@=””C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\tmc.exe” -a “C:\Arquivos de programas\Mozilla Firefox\firefox.exe” -safe-mode”
[HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
@=””C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\tmc.exe” -a “C:\Arquivos de programas\Internet Explorer\iexplore.exe””

(Eu tenho o Chrome instalado na máquina infectada e a chave correspondente a ele não foi modificada)

[HKLM\SOFTWARE\Microsoft\Security Center]
“AntiVirusDisableNotify”=1
“FirewallDisableNotify”=1
“UpdatesDisableNotify”=1
“AntiVirusOverride”=1
“FirewallOverride”=1

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
“Start”=4
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
“Epoch”=0x00002CFB
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
“DisableNotifications”=1
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
“DisableNotifications”=1

Windows XP e Vista+ 32 bits, modifica as relatadas acima e mais estas: 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths]
“Directory”=”C:\Documents and Settings\Administrador\Configurações locais\Temporary Internet Files\Content.IE5″
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1]
“CacheLimit”=100
“CachePath”=”C:\Documents and Settings\Administrador\Configurações locais\Temporary Internet Files\Content.IE5\Cache1″

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2]
“CacheLimit”=100
“CachePath”=”C:\Documents and Settings\Administrador\Configurações locais\Temporary Internet Files\Content.IE5\Cache2″

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3]
“CacheLimit”=100
“CachePath”=”C:\Documents and Settings\Administrador\Configurações locais\Temporary Internet Files\Content.IE5\Cache3″

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4]
“CacheLimit”=100
“CachePath”=”C:\Documents and Settings\Administrador\Configurações locais\Temporary Internet Files\Content.IE5\Cache4″

  • Método de infecção:

Após executar o falso antispyware, o mesmo começa a realizar um scan, acusando vários falso-positivos e exibe uma janela da Central de Segurança, informando que o sistema está desprotegido e oferecendo o próprio malware como solução. Conforme o sistema operacional infectado, a tela será diferente, adequando-se ao nome do rogue instalado:

Tela da falsa Central de Segurança

A partir de então, o malware bloqueia o acesso a qualquer
arquivo executável, deixando o computador praticamente inutilizável, pois nenhum programa funciona. Ao tentar abrir qualquer programa, é exibida uma tela de alerta de infecção:

Virus bloqueia arquivos executáveis legítimos

Virus bloqueia navegadores

O computador também fica impedido de acessar a internet, deixando o navegador “preso” a uma página como esta:

Virus impede a navegação

De tempos em tempos, a praga exibe janelas de alerta, informando que o sistema está em perigo:

Falso alerta acusando que o sistema está em perigo

Falso alerta no Windows 7

Anúncios

Os comentários estão desativados.

%d blogueiros gostam disto: