Csaló szoftver: Win32/Defru

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Microsoft Windows

Összefoglaló

Ez a biztonsági oldalnak álcázott weboldal úgy tesz, mintha kártékony szoftverek után kutatna a számítógépen, gyakran sok fertőzést találva. Ezek után pénzt próbál meg kicsalni annak érdekében, hogy megtisztítsa a PC-t.

Ezek a találatok azonban hamisak, mivel a program nem antivírus vagy antimalware kereső. Kizárólag arra lett készítve, hogy a becsapott felhasználók pénzt küldjenek a program készítőjének. A weboldalak hivatalos termékneveket és logókat tartalmaznak, melyek jogtalanul testesítik meg a Microsoft termékeket.

Amikor a becsapott felhasználó fizet, nem történik semmi, mivel a számítógép nincs megfertőzve azokkal a kártékony kódokkal, amiket a program “észlel”.

Leírás

A kártékony kód bemásolja magát az  %APPDATA%  könyvtárba w1ndows_<four characters>.exe fájlnév formával, pl. w1ndows_33a0.exe.

Módosítja a következő regisztrációs bejegyzést annak érdekében, hogy automatikusan indulhasson a bejelentkezést követően:

A “HKCUSoftwareMicrosoftWindowsCurrentVersionRun” alatt létrehoz egy bejegyzést a következő néven: “w1ndows_<four characters>“, pl. “w1ndows_33a0.exe” az értékét pedig beállítja erre: “<a kártékony kód elérési útvonala és fájlneve>“, pl. “%APPDATA%w1ndows_33a0.exe“

Miután telepítésre került a szoftver, kapcsolódik a következő kiszolgálóhoz, mely egy “OK” üzenettel nyugtázza a kapcsolat működését: pcdefender.co.vu (82.146.48.21)

Böngésző átirányítás

A program megváltoztatja a host fájlt, hogy átirányítsa a böngészőt a pcdefender.co.vu speciális hamis oldalra. Ezt az oldalt gyakran használják közösségi fejlesztésre hamis antivírus malware-ekhez.

A hamis scanner azt állítja, hogy a következő állományok fertőzöttek:

• AWCODC32.DLL
• BANANA.ANI
• BATCH.EXE
• COMCTL31.DLL
• D40_MS.SPD
• DBLSPACE.BAT
• DC2250P1.SPD
• DCIMAN32.DLL
• DCLPS401.SPD
• DECPSMW4.DLL
• E21K3.SYS
• ELNK3.DOS
• FONTVIEW.EXE
• FREECELL.CNT
• GRPCONV.EXE
• HP1200C.ICM
• HPIII522.SPD
• HPJDUND.HLP

A következő malware fajtákat detektálja (ezek mind hamis detektálások):

• Adware.Win32.Look2me
• JS/TrojanDownloader.FraudLoad.NAQ
• Magic DVD Ripper
• Trojan Horse IRC
• Trojan virtumonde
• Trojan.Fakealert
• Trojan.Qoologic – Key Logger
• TrojanDownloader:JS/Renos
• Trojan-PSW.Win32

A weboldal felajánlja, hogy megtisztítja a rendszert, napi frissítéseket kapunk és hozzáférést a “Windows Security”-hez és “Windows Defender”-hez.

A felhasználó böngészés közben folyamatos átirányítás alatt áll. A következőkben azok a weboldalak találhatóak, melyek biztosan átirányításra kerülnek a fertőzött számítógépen:

• 101.ru
• 1tv.ru
• 2gis.ru
• 3dnews.ru
• 4pda.ru
• accounts.google.com
• adme.ru
• admitad.com
• afisha.mail.ru
• afisha.ru
• aif.ru
• ajax.googleapis.com
• aliexpress.com
• allbest.ru
• anidub.com
• anonym.to
• apple.com
• ask.fm
• astromeridian.ru
• auto.ria.com
• auto.ru
• auto.yandex.ru
• avast.com
• avast.ru
• avg.com
• avia.ria.com
• avira.com
• avito.ru
• baby.ru
• babyblog.ru
• badoo.com
• banki.ru
• baskino.com
• battle.net
• battlefield.com
• bestkino.su
• bigcinema.tv
• bing.com
• bitdefender.com
• blizko.ru
• bolshoyvopros.ru
• bonprix.ru
• bonprix.ua
• brb.to
• career.ru
• championat.com
• cityadspix.com
• clamav.net
• clamwin.com
• clip2net.com
• cloudantivirus.com
• cnews.ru
• comodo.com
• comss.ru
• coub.com
• depositfiles.com
• deti.mail.ru
• dfiles.com
• dfiles.ru
• directadvert.ru
• dmir.ru
• dni.ru
• dojki.com
• dom.ria.com
• dom2.ru
• dota2.ru
• drive.ru
• drive2.ru
• drom.ru
• drweb.com
• drweb.ru
• dr-web.su
• drweb.ua
• e1.ru
• eldorado.ru
• enter.ru
• eratransfers.ru
• eset.ua
• esetnod32.ru
• evernote.com
• ex.ua
• expert.ru
• facebook.com
• farpost.ru
• fastpic.ru
• fast-torrent.ru
• fb.com
• filehippo.com
• filmix.net
• fishki.net
• fl.ru
• flickr.com
• f-lite.ru
• fontanka.ru
• fonts.googleapis.com
• footballhd.ru
• forex-mmcis.com
• forum.kaspersky.com
• forumhouse.ru
• fotki.yandex.ru
• fotostrana.ru
• f-prot.com
• free.avg.com
• free-av.com
• fuxio.net
• galafinance.com
• games.mail.ru
• gazeta.ru
• get-tune.net
• gi-akademie.com
• gidonlinekino.com
• go.mail.ru
• google.am
• google.com
• google.com.ua
• google.kz
• google.ru
• googleusercontent.com
• habrahabr.ru
• hdkinoteatr.com
• heroeswm.ru
• hh.ru
• home.webalta.ru
• images.yandex.ru
• imhonet.ru
• infox.sg
• inosmi.ru
• instagram.com
• iplayer.fm
• irecommend.ru
• irr.ru
• itar-tass.com
• ivi.ru
• izvestia.ru
• jimdo.com
• job.ru
• justclick.ru
• kakprosto.ru
• kaspersky.com
• kaspersky.ru
• kinogo.net
• kinokrad.net
• kinopoisk.ru
• kinozal.tv
• kommersant.ru
• kp.ru
• labirint.ru
• lady.mail.ru
• lenta.ru
• letitbit.net
• lice-mer.ru
• lifenews.ru
• list.ru
• litmir.net
• live.ru
• liveinternet.ru
• livejournal.com
• livejournal.ru
• liveresult.ru
• livetv.sx
• livetv.tv
• lostfilm.tv
• loveplanet.ru
• m24.ru
• mail.google.com
• mail.ru
• mamba.ru
• market.yandex.ru
• marketgid.ru
• mcafee.com
• mediafort.ru
• meganovosti.net
• megogo.net
• microsoft.com
• minigames.mail.ru
• mir24.tv
• mirtesen.ru
• mk.ru
• mos.ru
• moskva.fm
• msn.com
• music.yandex.ru
• muzofon.com
• mvideo.ru
• my.mail.ru
• my-hit.org
• myvi.ru
• nanoav.ru
• neobux.com
• new-rutor.org
• news.sportbox.ru
• news.yandex.ru
• ngs.ru
• nn.ru
• norton.com
• nova.rambler.ru
• novayagazeta.ru
• ntv.ru
• odnoklassniki.ru
• ojooo.com
• ok.ru
• onclickads.net
• onlainfilm.ucoz.ua
• orpoisk.ru
• otvet.mail.ru
• otzovik.ru
• overclockers.ru
• ovg.cc
• ozon.ru
• pandasecurity.com
• pikabu.ru
• pinterest.com
• planeta-online.tv
• playcast.ru
• playground.ru
• poiskm.ru
• politikus.ru
• popmog.com
• pornhub.com
• pornolab.net
• pornoload.com
• pravda.ru
• prntscr.com
• profit-partner.ru
• prostoporno.net
• r0.ru
• rabota.ru
• radikal.ru
• railnation.ru
• rambler.ru
• rbc.ru
• realty.mail.ru
• reddit.com
• redtube.com
• regnum.ru
• retre.org
• rg.ru
• ria.com
• ria.ru
• roem.ru
• rosbalt.ru
• rp5.ru
• rt.com
• rt.ru
• ru.clamwin.com
• ru.msn.com
• ru.norton.com
• rugion.ru
• ruhelp.com
• rusnovosti.ru
• rusplt.ru
• russia.rt.com
• russia.tv
• russianfood.com
• russianpost.ru
• rusvesna.su
• rutor.org
• rutracker.org
• rutube.ru
• rzd.ru
• savefrom.net
• sbnlife.com
• search.qip.ru
• searchengines.guru
• searchengines.ru
• seosprint.net
• sergey-mavrodi.com
• skladchik.com
• smotri.com
• snob.ru
• soccer.ru
• sophos.com
• sovsport.ru
• sportbox.ru
• sport-express.ru
• sprashivai.ru
• sputnik.ru
• srclick.ru
• sru
• start.qip.ru
• start.webalta.ru
• steamcommunity.com
• steampowered.com
• stoloto.ru
• store.steampowered.com
• subscribe.ru
• superjob.ru
• surfingbird.ru
• svpressa.ru
• svyaznoy.ru
• symantec.com
• t.co
• t.ru.msn.com
• tankionline.com
• tfile.me
• thepiratebay.se
• tiu.ru
• tjournal.ru
• tnt-online.ru
• topwar.ru
• torrentino.com
• translate.ru
• tube8.com
• tumblr.com
• turbobit.net
• tutu.ru
• tv.yandex.ru
• tvzavr.ru
• twitter.com
• ulmart.ru
• userapi.com
• utro.ru
• vedomosti.ru
• vesti.ru
• vezuha.me
• video.yandex.ru
• vimeo.com
• viruslab.ru
• virustotal.com
• vk.com
• vk.me
• vube.com
• warthunder.ru
• webalta.ru
• wildberries.ru
• wmmail.ru
• wooman.ru
• workle.ru
• worldoftanks.ru
• xhamster.com
• xnxx.com
• xvideos.com
• ya.ru
• yadi.sk
• yahoo.com
• yandex.com
• yandex.net
• yandex.ru
• yandex.ua
• yaplakal.com
• yota.ru
• youporn.com
• youtube.com
• zaycev.net
• zillya.ua
• zona.ru
• zoomby.ru

Amikor a fizetés gombra kattintunk, a böngésző átirányítja a felhasználót a Payeer nevű fizető portálra (payeer.com), ami kiírja a fizetési információkat.

Ez kapcsolódik a galafinance.com weboldalhoz, amelyen megjelenik a “Temporary busy” üzenetet az elemzés során, és jelenleg már nem elérhető.

A káros kód PHP-ban készült és PHP EXE fordítót használ.

Megoldás

Frissítse a vírusirtóját.

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: www.microsoft.com