Лже-антивирус Defru атакует пользователей Windows

rogue-win32-defruСпециалисты Microsoft обнаружили новый, сравнительно простой лже-антивирус под названием Defru. Фальшивый антивирус атакует пользователей Windows и блокирует доступ к популярным web-сайтам. Вредоносная программа, обнаруженная под названием Rogue: Win32/Defru, маскируется под настоящий антивирус и инициирует поддельное сканирование устройств, на которых установлена ОС Windows. По словам эксперта Microsoft Дэниэла Кипиристеану (Daniel Chipiristeanu), в прошлом, используя файл hosts, фальшивые антивирусы блокировали доступ к легальным web-сайтам разработчиков анти-вирусного программного обеспечения и тем самым не давали пользователям возможности устранить угрозу. Defru использует более простой подход. Программа блокирует доступ пользователя к интернету фальшивым предупреждением об угрозе при посещении различных сайтов. Используя файл hosts в компьютере пользователя, Defru перенаправляет ссылки на фальшивый pcdefender web-сайт. После установки мошенническая программа предлагает пользователю удалить якобы зараженные файлы, предварительно купив лицензию. Удалить лже-антивирус можно с помощью легального антивирусного программного обеспечения. По словам специалиста, больше всего от фальшивого антивируса пострадали жители России, США и Казахстана.

Лже-антивирус копирует себя в папку% AppData% с именем файла в формате w1ndows_<четыре символа>.exe Например: w1ndows_33a0.exe

Он изменяет следующую запись реестра, чтобы начинать свои действия каждый раз при запуске PC:

В подразделе: HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Устанавливает значение: «w1ndows_<Четыре символа> «, например»w1ndows_33a0.exe»
С данными: » <путь и имя файла вредоносной программы> «, например «%APPDATA% W1ndows_33a0.exe «

После установки, лже-антивирус устанавливает контакт с удалённым сервером pcdefender.co.vu ( 82.146.48.21 ), который отвечает простым «ОК», чтобы подтвердить, что связь работает.

Следующий пример показывает страницу переадресации, например если вы попытаетесь открыть www.bing.com . Обратите внимание, в адресной строке по-прежнему отображается URL для Bing.

Утверждение поддельного сканера, что один из следующих файлов заражен:
AWCODC32.DLL — BANANA.ANI — BATCH.EXE — COMCTL31.DLL — D40_MS.SPD — DBLSPACE.BAT — DC2250P1.SPD — DCIMAN32.DLL — DCLPS401.SPD — DECPSMW4.DLL — E21K3.SYS — ELNK3.DOS — FONTVIEW.EXE — FREECELL.CNT — GRPCONV.EXE — HP1200C.ICM
— HPIII522.SPD — HPJDUND.HLP
Обнаружение вредоносного ПО (это всё подделка)
Adware.Win32.Look2me  JS/TrojanDownloader.FraudLoad.NAQ  Magic DVD Ripper  Trojan Horse IRC  Trojan virtumonde  Trojan.Fakealert  Trojan.Qoologic — Key Logger  ТrojanDownloader:JS/Renos  Trojan-PSW.Win32

Веб-сайт обещает очистить систему, разблокировать доступ к веб-страницам, получать ежедневные обновления и доступ к «Windows Security» и «Защитнику Windows»

Вы будете постоянно перенаправляться на эту страницу. Он нацелен на определенные веб-сайты.
Ниже приведены сайты, с которых лже-антивирус перенаправляет ваш браузер на сервер pcdefender.co.vu:

  • 101.ru
  • 1tv.ru
  • 2gis.ru
  • 3dnews.ru
  • 4pda.ru
  • accounts.google.com
  • adme.ru
  • admitad.com
  • afisha.mail.ru
  • afisha.ru
  • aif.ru
  • ajax.googleapis.com
  • aliexpress.com
  • allbest.ru
  • anidub.com
  • anonym.to
  • apple.com
  • ask.fm
  • astromeridian.ru
  • auto.ria.com
  • auto.ru
  • auto.yandex.ru
  • avast.com
  • avast.ru
  • avg.com
  • avia.ria.com
  • avira.com
  • avito.ru
  • baby.ru
  • babyblog.ru
  • badoo.com
  • banki.ru
  • baskino.com
  • battle.net
  • battlefield.com
  • bestkino.su
  • bigcinema.tv
  • bing.com
  • bitdefender.com
  • blizko.ru
  • bolshoyvopros.ru
  • bonprix.ru
  • bonprix.ua
  • brb.to
  • career.ru
  • championat.com
  • cityadspix.com
  • clamav.net
  • clamwin.com
  • clip2net.com
  • cloudantivirus.com
  • cnews.ru
  • comodo.com
  • comss.ru
  • coub.com
  • depositfiles.com
  • deti.mail.ru
  • dfiles.com
  • dfiles.ru
  • directadvert.ru
  • dmir.ru
  • dni.ru
  • dojki.com
  • dom.ria.com
  • dom2.ru
  • dota2.ru
  • drive.ru
  • drive2.ru
  • drom.ru
  • drweb.com
  • drweb.ru
  • DR-web.su
  • drweb.ua
  • e1.ru
  • eldorado.ru
  • enter.ru
  • eratransfers.ru
  • eset.ua
  • esetnod32.ru
  • evernote.com
  • ex.ua
  • expert.ru
  • facebook.com
  • farpost.ru
  • fastpic.ru
  • быстро-torrent.ru
  • fb.com
  • filehippo.com
  • filmix.net
  • fishki.net
  • fl.ru
  • flickr.com
  • е-lite.ru
  • fontanka.ru
  • fonts.googleapis.com
  • footballhd.ru
  • Форекс-mmcis.com
  • forum.kaspersky.com
  • forumhouse.ru
  • fotki.yandex.ru
  • fotostrana.ru
  • е-prot.com
  • free.avg.com
  • свободной av.com
  • fuxio.net
  • galafinance.com
  • games.mail.ru
  • gazeta.ru
  • получить-tune.net
  • ги-akademie.com
  • gidonlinekino.com
  • go.mail.ru
  • google.am
  • google.com
  • google.com.ua
  • google.kz
  • google.ru
  • googleusercontent.com
  • habrahabr.ru
  • hdkinoteatr.com
  • heroeswm.ru
  • hh.ru
  • home.webalta.ru
  • images.yandex.ru
  • imhonet.ru
  • infox.sg
  • inosmi.ru
  • instagram.com
  • iplayer.fm
  • irecommend.ru
  • irr.ru
  • ИТАР-tass.com
  • ivi.ru
  • izvestia.ru
  • jimdo.com
  • job.ru
  • justclick.ru
  • kakprosto.ru
  • kaspersky.com
  • kaspersky.ru
  • kinogo.net
  • kinokrad.net
  • kinopoisk.ru
  • kinozal.tv
  • kommersant.ru
  • kp.ru
  • labirint.ru
  • lady.mail.ru
  • lenta.ru
  • letitbit.net
  • вши-mer.ru
  • lifenews.ru
  • list.ru
  • litmir.net
  • live.ru
  • liveinternet.ru
  • livejournal.com
  • livejournal.ru
  • liveresult.ru
  • livetv.sx
  • livetv.tv
  • lostfilm.tv
  • loveplanet.ru
  • m24.ru
  • mail.google.com
  • mail.ru
  • mamba.ru
  • market.yandex.ru
  • marketgid.ru
  • mcafee.com
  • mediafort.ru
  • meganovosti.net
  • megogo.net
  • microsoft.com
  • minigames.mail.ru
  • mir24.tv
  • mirtesen.ru
  • mk.ru
  • mos.ru
  • moskva.fm
  • msn.com
  • music.yandex.ru
  • muzofon.com
  • mvideo.ru
  • my.mail.ru
  • мой-hit.org
  • myvi.ru
  • nanoav.ru
  • neobux.com
  • Новый-rutor.org
  • news.sportbox.ru
  • news.yandex.ru
  • ngs.ru
  • nn.ru
  • norton.com
  • nova.rambler.ru
  • novayagazeta.ru
  • ntv.ru
  • odnoklassniki.ru
  • ojooo.com
  • ok.ru
  • onclickads.net
  • onlainfilm.ucoz.ua
  • orpoisk.ru
  • otvet.mail.ru
  • otzovik.ru
  • overclockers.ru
  • ovg.cc
  • ozon.ru
  • pandasecurity.com
  • pikabu.ru
  • pinterest.com
  • Планета-online.tv
  • playcast.ru
  • playground.ru
  • poiskm.ru
  • politikus.ru
  • popmog.com
  • pornhub.com
  • pornolab.net
  • pornoload.com
  • pravda.ru
  • prntscr.com
  • Прибыль-partner.ru
  • prostoporno.net
  • r0.ru
  • rabota.ru
  • radikal.ru
  • railnation.ru
  • rambler.ru
  • rbc.ru
  • realty.mail.ru
  • reddit.com
  • redtube.com
  • regnum.ru
  • retre.org
  • rg.ru
  • ria.com
  • ria.ru
  • roem.ru
  • rosbalt.ru
  • rp5.ru
  • rt.com
  • rt.ru
  • ru.clamwin.com
  • ru.msn.com
  • ru.norton.com
  • rugion.ru
  • ruhelp.com
  • rusnovosti.ru
  • rusplt.ru
  • russia.rt.com
  • russia.tv
  • russianfood.com
  • russianpost.ru
  • rusvesna.su
  • rutor.org
  • rutracker.org
  • rutube.ru
  • rzd.ru
  • savefrom.net
  • sbnlife.com
  • search.qip.ru
  • searchengines.guru
  • searchengines.ru
  • seosprint.net
  • сергей-mavrodi.com
  • skladchik.com
  • smotri.com
  • snob.ru
  • soccer.ru
  • sophos.com
  • sovsport.ru
  • sportbox.ru
  • спорт-express.ru
  • sprashivai.ru
  • sputnik.ru
  • srclick.ru
  • SRU
  • start.qip.ru
  • start.webalta.ru
  • steamcommunity.com
  • steampowered.com
  • stoloto.ru
  • store.steampowered.com
  • subscribe.ru
  • superjob.ru
  • surfingbird.ru
  • svpressa.ru
  • svyaznoy.ru
  • symantec.com
  • t.co
  • t.ru.msn.com
  • tankionline.com
  • tfile.me
  • thepiratebay.se
  • tiu.ru
  • tjournal.ru
  • TNT-online.ru
  • topwar.ru
  • torrentino.com
  • translate.ru
  • tube8.com
  • tumblr.com
  • turbobit.net
  • tutu.ru
  • tv.yandex.ru
  • tvzavr.ru
  • twitter.com
  • ulmart.ru
  • userapi.com
  • utro.ru
  • vedomosti.ru
  • vesti.ru
  • vezuha.me
  • video.yandex.ru
  • vimeo.com
  • viruslab.ru
  • virustotal.com
  • vk.com
  • vk.me
  • vube.com
  • warthunder.ru
  • webalta.ru
  • wildberries.ru
  • wmmail.ru
  • wooman.ru
  • workle.ru
  • worldoftanks.ru
  • xhamster.com
  • xnxx.com
  • xvideos.com
  • ya.ru
  • yadi.sk
  • yahoo.com
  • yandex.com
  • yandex.net
  • yandex.ru
  • yandex.ua
  • Мой yaplakal.co
  • yota.ru
  • youporn.com
  • youtube.com
  • zaycev.net
  • zillya.ua
  • zona.ru
  • zoomby.ru

Если вы нажмете кнопку «Оплатить сейчас», вы попадёте на платёжный портал под названием «Payeer» ( payeer.com ), который будет отображать информацию об оплате.

Лже-антивирус написан в PHP и использует компилятор PHP EXE (Bambalam).
Если у вас отсутствует антивирусное программное обеспечение, то для удаления лже-антивируса посетите Microsoft Malware Protection Center

Related posts

Дискуссия

Оставьте первый комментарий!

avatar
wpDiscuz