Health care

MalwareProtector2008

Тип:

Adware Adware - «рекламное программное обеспечение» - отдельные вредоносные программы либо модули в составе обычных приложений, отображающие нежелательную рекламу, например, всплывающие окна в браузере. Как правило, скрывают своё присутствие в системе и загружаются автоматически после каждого запуска системы.

Операционная система:

Windows

Уровень:

низкий

Размер:

2.066.071 байта

Признаки

При старте создает следующие файлы:

• %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Malware Protector 2008.lnk
• %UserProfile%\Application Data\shcev9j0e1b1
• C:\Documents and Settings\All Users\Desktop\Malware Protector 2008.lnk
• C:\Documents and Settings\All Users\Start Menu\Programs\Malware Protector 2008\How to Register Malware Protector 2008.lnk
• C:\Documents and Settings\All Users\Start Menu\Programs\Malware Protector 2008\License Agreement.lnk
• C:\Documents and Settings\All Users\Start Menu\Programs\Malware Protector 2008\Malware Protector 2008.lnk
• C:\Documents and Settings\All Users\Start Menu\Programs\Malware Protector 2008\Register Malware Protector 2008.lnk
• C:\Documents and Settings\All Users\Start Menu\Programs\Malware Protector 2008\Uninstall.lnk
• C:\Documents and Settings\All Users\Start Menu\Programs\Malware Protector 2008.lnk
• %ProgramFiles%\shcev9j0e1b1\database.dat
• %ProgramFiles%\shcev9j0e1b1\license.txt
• %ProgramFiles%\shcev9j0e1b1\MFC71.dll
• %ProgramFiles%\shcev9j0e1b1\MFC71ENU.DLL
• %ProgramFiles%\shcev9j0e1b1\msvcp71.dll
• %ProgramFiles%\shcev9j0e1b1\msvcr71.dll
• %ProgramFiles%\shcev9j0e1b1\shcev9j0e1b1.exe
• %ProgramFiles%\shcev9j0e1b1\shcev9j0e1b1.exe.local
• %ProgramFiles%\shcev9j0e1b1\shcev9j0e1b1Skin.dll
• %ProgramFiles%\shcev9j0e1b1\Uninstall.exe

(Примечание: %ProgramFiles% - директория, куда по умолчанию устанавливаются приложения,%UserProfile% - директория, содержащая системные данные текущего пользователя)

После установки удаляет инсталлятор.

Создает в реестре ключ, обеспечивающий автозагрузку при каждом старте Windows:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”SMshcev9j0e1b1″ = “C:\Program Files\shcev9j0e1b1\shcev9j0e1b1.exe”

Создает также следующие записи в реестре:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\shcev9j0e1b1\”DisplayName” = “MProtector”
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\shcev9j0e1b1\”UninstallString” = “C:\Program Files\shcev9j0e1b1\uninstall.exe”
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”RegistrationUrl” = “http://www.malwareprotector2008.com/buy/”
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”RegistrationDiscUrl” = “http://www.malwareprotector2008.com/purchase/”
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”ADVid” = “”
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”" = “C:\Program Files\shcev9j0e1b1″
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”InstallDir” = “C:\Program Files\shcev9j0e1b1″
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”domain” = “malwareprotector2008.com”
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”SoftID” = “MProtector”
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”DatabaseVersion” = “2.1″
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”ProgramVersion” = “2.1″
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”EngineVersion” = “2.1″
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”GuiVersion” = “2.1″
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”ProxyName” = “”
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”ProxyPort” = “0″
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”ScanPriority” = “1″
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”DaysInterval” = “7″
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”ScanDepth” = “2″
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”ScanSystemOnStartup” = “1″
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”AutomaticallyUpdates” = “1″
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”MinimizeOnStart” = “0″
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”BackgroundScan” = “1″
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”BackgroundScanTimeout” = “1″
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”MGuid” = “{0DB56EFC-EE39-447F-94AB-73409F51AC2E}”
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”InstallationID” = “{F2D62961-6358-4CCF-B806-7664421D16B2}”
• HKEY_LOCAL_MACHINE\SOFTWARE\shcev9j0e1b1\”LastTimeStamp” = “B8″
• HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\”C:\Program Files\shcev9j0e1b1\shcev9j0e1b1.exe” = “shcev9j0e1b1″

Интерфейс имитирует Advanced XP Defender.

ЗАЩИТА

• Отключить функцию “Восстановление системы” (для Windows ME и XP)
• Полностью проверить систему антивирусом с обновлённой базой сигнатур
• Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Приложение для платформы Windows, заявленное как средство защиты от вредоносных программ. После сканирования системы сообщает о якобы найденных, а на самом деле - несуществующих, вредоносных программах, с целью заставить пользователя заплатить за ключ к якобы лицензионной версии.

В отличие от других приложений подобного типа, также сообщает о вредоносном коде, успешно удаленном из системы, и угрожает установить его обратно, если пользователь попытается деинсталлировать приложение.

Название приложения: Malware Protector 2008.

Разработчик: malwareprotector2008.com.

Версия: 2.1.