[Ostrzeżenie] UltraDefragger

Informacje o najnowszych zagrożeniach i sposobach leczenia
Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21399
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

[Ostrzeżenie] UltraDefragger

Post25 gru 2010, 00:20

UltraDefragger jest aplikacją, która wprowadza w błąd użytkownika raportując o poważnych błędach na dysku twardym komputera.

Program wykonuje fałszywe skanowanie dysku, gdzie znajduje kilka krytycznych błędów. To zachęca użytkownika do aktywacji programu, aby usunąć błędy. Aktywacja polega na odwiedzenie strony internetowej i wykonania transakcji płatniczej za zakup licencji.

Zagrożenie:
średnie
Narażone systemy:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Obrazek
Obrazek

Podczas instalacji tworzone są pliki:

* %Temp%\[RANDOM NUMBER 1].exe
* %Temp%\[RANDOM NUMBER 2]
* %Temp%\[RANDOM NUMBER 2].exe
* %UserProfile%\Desktop\Ultra Defragger.lnk
* %ProgramFiles%\Ultra Defragger\Uninstall Ultra Defragger.lnk
* %ProgramFiles%\Ultra Defragger\Ultra Defragger.lnk



Następnie dodaje wpis do rejestru:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NUMBER 2]" = "%Temp%\[RANDOM NUMBER 2].exe"

Może utworzyć także podklucze:

* HKEY_USERS\S-1-Unknown\Software
* HKEY_USERS\S-1-Unknown\SOFTWARE\Microsoft
* HKEY_CURRENT_USER\Software\"12B79064-EB17-4f82-9DFE-B975BD26D1DC"



Program może próbować łączyć się z następującymi szkodliwymi adresami:

* aggresveice[dot]com/readdatagateway.php?type=stats&affid=440&subid=01&adwareok
* searchfinddivide[dot]org/customers/readdatagateway.php?type=stats&affid=440&subid=01&version=5.0&installok
* searchact[dot]org/dfrg/dfrg
* searchfinddivide[dot]org/dfrg/dfrg
* aggresveice[dot]com/dfrg/dfrg
* ppcmbo[dot]com/dfrg/dfrg

Leczenie
Po wyłączeniu przywracania systemu, aktualizacji antywirusa oraz skanowaniu dysku na obecność wirusów, należy usunąć klucze z rejestru:


* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NUMBER 2]" = "%Temp%\[RANDOM NUMBER 2].exe"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"WarnOnZoneCrossing" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Use FormSuggest" = "yes"
* HKEY_CURRENT_USER\Software\Microsoft\"BootData" = "43 00 3a 00 5c 00 44 00 4f 00 43 00 55 00 4d 00 45 00 7e 00 31 00 5c 00 56 00 49 00 52 00 55 00 53 00 4d 00 7e 00 31 00..."
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\"1601" = "1"

* HKEY_USERS\S-1-Unknown\Software
* HKEY_USERS\S-1-Unknown\SOFTWARE\Microsoft
* HKEY_CURRENT_USER\Software\"12B79064-EB17-4f82-9DFE-B975BD26D1DC"

Źródło: Symantec

W razie problemów, radzimy zaczerpnąć pomocy u naszych fachowców w dziale Bezpieczeństwo.
Hotfix
Pozdrawiam, cosik_ktosik :)


  • Reklama

Wróć do „Zagrożenia i leczenie”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 5 gości