Антивирус: XP Police Antivirus: поддельный антивирус
Троян FakeAV, который устанавливает поддельные антивирусные приложения и вводит пользователей в заблуждение, на этот раз пытается монетизировать своих распространителей с помощью приложения под названием XP Police Antivirus.
A ПоддельныйAV.ABP Троянские программы, как и уже появившиеся варианты, обманчиво пытаются заработать деньги. Вы устанавливаете на свой компьютер поддельное антивирусное приложение, которое называется этим Политический антивирус XP. Это программное обеспечение запускается автоматически и генерирует ряд ложных предупреждений о вирусах. Чтобы сделать вашу задачу еще более «аутентичной», он также отображает окно, напоминающее Центр обеспечения безопасности Windows, пока не прозвучит звук, но именно там можно прочитать много необоснованных сообщений. Троянец пытается убедить пользователя, что если вы купите антивирус, он сможет удалить вредоносное ПО с компьютера. Конечно, на самом деле это не так.
Троянец также вносит ряд изменений в файловую систему, реестр и меню «Пуск». Кроме того, он может отключить встроенный брандмауэр Windows и сделать недоступными диспетчер задач и редактор реестра.
При запуске троян FakeAV.ABP выполняет следующие действия:
- Создайте следующие файлы:
% Program Files% \ XPPoliceAntivirus
% Program Files% \ XPPoliceAntivirus \ Плагины
% Program Files% \ XPPoliceAntivirus \ звуки
% Documents and Settings% \ [имя пользователя] \ protect.dll
% Documents and Settings% \ [имя пользователя] \ Local Settings \ Temp \ msb.dll
% Program Files% \ XPPoliceAntivirus \ iehost.dll
% Program Files% \ XPPoliceAntivirus \ protect.dll
% Program Files% \ XPPoliceAntivirus \ setup.dat
% Program Files% \ XPPoliceAntivirus \ xppolice.exe - Создает новые ярлыки в меню «Пуск».
% Documents and Settings% \ [имя пользователя] \ Desktop \ XP Police Antivirus.LNK
% Documents and Settings% \ [имя пользователя] \ Start Menu \ XP Police Antivirus.LNK - Создает следующие записи в базе данных регистрации:
HKCU \ Программное обеспечение \ Антивирус полиции XP
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ autochk =
"Rundll32.exe%Документы и настройки%\protect.dll, _IWMPEvents@16"
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ PoliceAV =
"% Program Files% \ XPPoliceAntivirus \ xppolice.exe" - Запускает псевдоантивирусное приложение XP Police Antivirus.
- Генерирует ложные предупреждения системы безопасности.
- Отображает окно, напоминающее Центр обеспечения безопасности Windows.
- Отображает различные предупреждающие сообщения.
- Измените следующие записи в базе данных регистрации:
HKLM \ SOFTWARE \ Microsoft \ Security Center \ AntiVirusDisableNotify = «1»
HKLM \ SOFTWARE \ Microsoft \ Security Center \ FirewallDisableNotify = «1»
HKLM \ SOFTWARE \ Microsoft \ Security Center \ UpdatesDisableNotify = «1» - Создает следующие значения в базе данных регистрации:
HKCR\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}\InprocServer32\@
= «% Windows% \ iehost.dll»
HKLM\SOFTWARE\Classes\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}
HKLM\SOFTWARE\Classes\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5} - Измените следующие записи в базе данных регистрации:
HKCU \ Control Panel \ don \\ ”t load \ scui.cpl =« Нет »
HKCU \ Control Panel \ don \\ ”t load \ wscui.cpl =« Нет »
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \
DisableTaskMgr = «1»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \
DisableRegistryTools = «1»
