بحث حول Trojan.Fakealert.CAW.
حجم الفيروس: 1164 Ko
الضرر: عالي
تاريخ الإكتشاف : 2010/10/04
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
[/FONT]
عند أول ضهور له ينشأ دليل له في
systemdrive% \ Documents and Settings \ All Users \ Application Data
مع إسم عشوائي مكون من 8 أحرف أو أرقام
و يبدأ بنسخ نفسه في الدليل و ربما تجد الدليل على هذا الشكل
C: \ Documents and Settings \ All 67134122 \ Users \ Application Data \ 67134122.exe"
و هذا الملف يعتبر ملف دفعي يدير النسخة الجديدة التي تم إنشاؤها . بعد ذلك ، الملف الدفعي التلقائي يحذف. بعد إصابة النظام بكامله
ثم يبدأ المالوار بعرض تحذيرات للمستخدم
و يبدأ بإرسال رسائل خطء و لعل أبرز هذه الرسائل يطلب منك تنزيل برنامج مزيد تحت إسم Security TooL
و ما يزيد الأمر خطورتا هو أن التنزيل يتم تلقائيا رغم طلب منك
و هذه صورة تأكد أن التشطيب تم تلقائيا دون تدخل
ثم يعيد تشغيل الجهاز و هنا تكمن خطورة الأمر
1/ يتم إخفاء أيقونات المكتب
2/ يحاول إغلاق جميع التطبيقات عند الحاجة لفتحها
3/ يفتح المضاد صفحات الأنترنت سوف تظهر بعض تتبيه جدار الحماية
4/ اعتراض لوحة المفاتيح والفأرة وعرض شاشة التوقف
5/ خدع المستخدم بالإصابة بفيروسات وهمية
6/ يرسل رسائل وهمية لا أساس لها
7/ يضيف قيمة جديدة للريجستر
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run”
وبصرف النظر عن كونه مكافح الفيروسات وهمي ، Trojan.Fakealert.CAW لديه ميزة من برامج التجسس يحاول إرسال المعلومات على الجهاز المصاب عن طريق سرفر ملغم.
منقول للأمانة:king:
تعريف للفيروس هذا التروجان خطير للغاية و هو أخر اتروجان من هدا النوع ظهر الى حد الآن و قادر على تخريب العديد من الإجهزة و تتمثل قدرته في سرعته في تنفيد الأوامر و بشكل تلقائي
Trojan.Fakealert.CAW
أسماء أخرى : Trojan:Win32/Winwebsec,
SPR/Fake.stl.1126,
Packed.Win32.Krap.gy
Trojan.Fakealert.CAW
أسماء أخرى : Trojan:Win32/Winwebsec,
SPR/Fake.stl.1126,
Packed.Win32.Krap.gy
حجم الفيروس: 1164 Ko
الضرر: عالي
تاريخ الإكتشاف : 2010/10/04
[FONT=Comic
Sans MS]الانظمة المتضررة
Sans MS]الانظمة المتضررة
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
عند أول ضهور له ينشأ دليل له في
systemdrive% \ Documents and Settings \ All Users \ Application Data
مع إسم عشوائي مكون من 8 أحرف أو أرقام
و يبدأ بنسخ نفسه في الدليل و ربما تجد الدليل على هذا الشكل
C: \ Documents and Settings \ All 67134122 \ Users \ Application Data \ 67134122.exe"
و هذا الملف يعتبر ملف دفعي يدير النسخة الجديدة التي تم إنشاؤها . بعد ذلك ، الملف الدفعي التلقائي يحذف. بعد إصابة النظام بكامله
ثم يبدأ المالوار بعرض تحذيرات للمستخدم
و يبدأ بإرسال رسائل خطء و لعل أبرز هذه الرسائل يطلب منك تنزيل برنامج مزيد تحت إسم Security TooL
و ما يزيد الأمر خطورتا هو أن التنزيل يتم تلقائيا رغم طلب منك
و هذه صورة تأكد أن التشطيب تم تلقائيا دون تدخل
ثم يعيد تشغيل الجهاز و هنا تكمن خطورة الأمر
1/ يتم إخفاء أيقونات المكتب
2/ يحاول إغلاق جميع التطبيقات عند الحاجة لفتحها
3/ يفتح المضاد صفحات الأنترنت سوف تظهر بعض تتبيه جدار الحماية
4/ اعتراض لوحة المفاتيح والفأرة وعرض شاشة التوقف
5/ خدع المستخدم بالإصابة بفيروسات وهمية
6/ يرسل رسائل وهمية لا أساس لها
7/ يضيف قيمة جديدة للريجستر
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run”
وبصرف النظر عن كونه مكافح الفيروسات وهمي ، Trojan.Fakealert.CAW لديه ميزة من برامج التجسس يحاول إرسال المعلومات على الجهاز المصاب عن طريق سرفر ملغم.
منقول للأمانة:king:
المصدر: منتديات زيزوووم للأمن والحماية