# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Осторожно ! Опасная подделка!

## SDA

Бесплатный антиспайваре на русском ASWPRO -  ....   * Эффективный продукт борьбы cо шпионским софтом.
    * Работает на уровне ядра операционной системы, что позволяет детектировать ПО, "невидимое" для обычных приложений и даже некоторых антивирусов.
    * Регулярное обновление базы данных SpyWare.
    * Круглосуточная техническая поддержка ASWPRO.....
....Spyware (англ. Spy — шпион и англ. Software — программное обеспечение) — шпионское программное обеспечение. Для поиска Spyware вам необходимо скачать наш антивирус.Программное обеспечение, занимающееся сбором информации на компьютере пользователя и отсылкой ее создателю. Часто устанавливается незаметно для пользователя вместе с другим программным обеспечением. Обычные антивирусы зачастую не в состоянии обеспечить надежную защиту от SpyWare. Проверьте свой компьютер на наличие вредоносных програм - скачайте наш антивирус совершенно бесплатно..... и естественно найдет кучу вирусов  :262: 

за активацию функции излечения требует отправить не длинное сообщение на совсем короткий номер за смешные деньги  :Wink:  
стоимость 15 рублей в год *
Для получения кода активации ASWPRO
пошлите SMS с текстом
88288
на короткий номер
1171  :Wall: 

сайт поделки http://aswpro.com/

детект "суперантиспайваре" на Virustotal http://www.virustotal.com/ru/analisi...87ac6d3b5615ed

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## 1205

Этот сайт давно уже существует. И кстати первый раз я на него перешел по рекламной ссылке на этом форуме (раньше внизу была реклама от яндекса вроде), думал это вирусинфо рекомендует антишпион)) Но мой антивирус ругнулся, и устанавливать я это чудо не стал.

----------


## DVi

Ого? Что скажет администрация?

----------


## websaurus

А, что с миру по нитке......., это  я про 15 рублей в год да ещё и неизвестно сколько с вас возьмут сотовые операторы на самом деле !!!

----------


## Wayfarer

На днях, как раз, и столкнулся с Super Antispyware Pro 4 (патч и русификатор-в комплекте), скачанной с одного форума, где, как ни странно, ссылка была размещена администратором. Авира Премиум, глядя на инсталятор честно заявила- Ё-мое! It's a FraudTool :Cheesy: -
- Муля, не нервируй!-ответил я, временно отключив Guard, и приступил к установке. :Roll Eyes (Sarcastic): 
Хочу заметить, что на тот момент моей ОС было часов 12 от роду, тоесть совсем молодая да свежая.
Процесс инсталяции и дальнейшего патчинга прошел на ура! Правда, жара за окном делала свое дело, и при попытке обновления позабыл снять одну единствнную галочку, что привело к обновлению исполняемого exe, и соответсвенно, все результаты патчинга как рукой сдуло. Тоесть, мы снова на английском и снова Trial Version.
Запускаем Full System Scan....Жаль, что я сделал скриншот не главного окна, где меня официально информировали, что, оказывается, моя молодушка-ОС и не дева вовсе :Cheesy:  А с ней мирно сожительствуют 514 зловредов, из которых 43-всевозможные руткиты, около 200 троянов, остальные-адварьки..Вот, собственно, скриншот, единственный к сожалению, где сортировка только адварькам.



Само собой, по указанному пути таких файлов не существует. Разочарованию моему не было предела. Самый болезненный укол обиды ощущаешь, когда при таком вот количестве зловредов тебе никто ничего не предлагает купить - но, быть может все таки не зря мы там чтото патчили? :Roll Eyes (Sarcastic):  Однако, когда был инициирован процесс удаления найденного, приложение выдало ошибку. К сожалению, мой низкий уровень грамотности в данном вопросе не позволяет ее описать более точно и дать детальный вердикт, однако звучала она как ошибка обращения, почему-то, к виртуальной памяти. 
Благополучно деинсталировав данное приложение, проведя полную проверку системы Авирой, и следом за ней-Авз, и разумеется, ни найдя ровным счетом ничего, успокоился. Для очистки совести установил Free версию SuperAntiSpyware, скаченную уже с офсайта. И, конечно же, на моем компьютере не было обнаружено ни одной угрозы. Вот так вот.

----------


## Geser

> Ого? Что скажет администрация?


Надо над рекламным блком написать что администрация не несет ответствености за рекламу.

----------


## DVi

А может стоит нести такую ответственность?
Разве Вирусинфо крутит неизвестные баннеры?

----------


## Geser

> А может стоит нести такую ответственность?
> Разве Вирусинфо крутит неизвестные баннеры?


Конекстная реклама от Яндекса. Понятно что они ставят что хотят.

----------


## NickGolovko

> Ого? Что скажет администрация?


Администрация думает, что это было в эпоху рекламы от Google. Сейчас стоит реклама от Yandex, которая несколько более прилична и редко предлагает подобные вещи. Если будут дальнейшие инциденты - напишем отказ от ответственности за внешнее cодержимое.

----------


## Lemmit

Автор программы очень неплохо раскрутился. Значит, получит немалую прибыль, значит будут новые версии у него и у отечественных последователей, тем более, что по состоянию на вчера на VirusTotal подделка распознавалась лишь 7 АВ, причем продукты ЛК его определяют базами "другие программы", отключенными по умолчанию.
Кроме того, заявлено, что Outpost Anti-Spyware блокирует вредонос и его сайт.
Добавлено: по доп. базам DRWeb детектируется как Trojan.Fakealert.1073

----------


## santy

Некоторое время назад, на ВирусИнфо прокручивалась реклама спайварной программы: любопытно было видеть, как сменялись банеры КАВ, Eset и следом спайварной программы, рекламирующей свои услуги.

----------


## 1205

Эту программу обновили, и теперь уровень детекта 4/35
http://www.virustotal.com/analisis/d...1bcc063b9224a1

----------


## Eele

Уважаемая администрация! Пожалуйста проверьте данный сайт и приложение hXXp://maxantispy.com/maxantispy.exe (программа MaxAntiSpy) - судя по оформлению и контенту сайта, есть подозрение на "клон" ASWPro, или аналогичную подделку.

----------


## SDA

Пока детектит только Ikarus http://www.virustotal.com/ru/analisi...1fac90dbfd88a9 но я думаю та же самая клонированная дрянь, должны скоро добавить в детект, отправил файл в ЛК.

P.S. Предлагаю постить в этой теме подобного рода поделки.

добавил:
*WistaAntivirus* 
HijackThis показвает заражение:

    O4 - HKLM\..\Run: [wistaantivirus] C:\Program Files\WistaAntivirus\wistaantivirus.exe

После заражения выскакивают предупреждения с текстом:

    Viruses have been detected!
    Spyware has been detected at your PC!
    Last scan with Wista Antispyware has
    detected the traces of infections.

----------


## senyak

> Уважаемая администрация! Пожалуйста проверьте данный сайт и приложение hXXp://maxantispy.com/maxantispy.exe (программа MaxAntiSpy) - судя по оформлению и контенту сайта, есть подозрение на "клон" ASWPro, или аналогичную подделку.


Аутпост распознает его как "MaxAntiSpy (Rogue Anti-Spyware)"? но ссылку не блокирует  :Sad:

----------


## SDA

Ответ ЛК: Hello.
No malicious software was found in the attached file. 
Никакое злонамеренное программное обеспечение не было найдено в приложенном файле. 
Удивительно, но я всеравно не советую. Спайваре MaxAntiSpy не удаляет.

----------


## Wayfarer

По поводу описанной выше SuperAntispyware Pro, привожу ссылку на форум, откуда качал-смотреть пост 2, там ссылка на архив с этой программой на рапиде. Авира ругается на инсталятор как на Fraud Tool, возможно, у кого-то из специалистов возникнет желание ознакомиться:
http://team-madalf.com/index.php?showtopic=44524

----------


## Umnik

То, что не найдено зловредного ПО, это понятно. Т.к. сия поделка - пустышка. "Хелло верд!" в красивой упаковке.

----------


## anton_dr

> Администрация думает, что это было в эпоху рекламы от Google.


Администрация знает  :Wink: , что данный факт имел место быть в контекстной рекламе Яндекса. По первому сигналу пользователей данное объявление было нами заблокировано. Как и MaxAntySpy.

----------


## Зинка

А есть у вас где-нибудь список "сайтов-подделок" антивирусов ?
Куда не ходить ни в коем случае ?

----------


## polimorf

> А есть у вас где-нибудь список "сайтов-подделок" антивирусов ?
> Куда не ходить ни в коем случае ?


Поставьте нормальный антивирь, фаервол и браузер с защитой от фишинга - опера или мозила. И будет Вам счастье.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## zerocorporated

> Поставьте нормальный антивирь, фаервол и браузер с защитой от фишинга - опера или мозила. И будет Вам счастье.


Поставить к сожалению мало - нужно ещё пользоваться научиться ими.
http://security-advisory.virusinfo.info/

----------


## SDA

Некоторые адреса домашних страниц опасных подделок:

Site Name: MalwareBellAgreement.com
Site Name: IEAntiAVDownload.com
IP Address: 89.149.227.195 

Примеры URL’ов:

    malwarebellagreement(dot)com/mb.exe
    malwarebellagreement(dot)com/ieav.exe
    ieantiavdownload(dot)com/ieav.exe
    ieantiavdownload(dot)com/mb.exe 

 WinAntiSpyware2008.com
Ip address: 206.161.126.40
Кроме этого сайта к этому айпи адресу привязаны:

    Antispywarexp2008.com
    Winantimalware.com
    Winreanimator.com
    Xpantispyware.com
    Xpcleaner2008.com
    Xpdefender2008.com
    Xpguard2008.com
    Xpsecuritycenter.com
Еще: 
Pc-antispy.com 
Antispyware2008.org
Anti-spy-ware-2008.com
Antispyware2008y.com
Antispyware2008.name
Antispyware-2008-download.com
Antispyware-2008-download.info
Antispyware-2008-download.net
Antispyware-2008-download.org
Antispyware-2008-download.name
Antispyware-2008.info
Antispyware-2008.org
Antispyware-2008.name
Antispyware2008-download.com
Antispyware2008-download.info
Antispyware2008-download.net
Antispyware2008-download.org
Antispyware2008-download.name

----------


## senyak

Ну таких сайтов все больше и больше. Причем рекламируются они с помощью спам ботов, по форумам и почте. Люди подхватывают эти запазы, так как рекламируются они под видом порно сайтов  :Smiley: . От этой каки фаервол не особо спасет, ну только если Аутпост со своим черным списком сайтов, но он блокирует не все сайты. Нужно нормальный антивирус (с фишинг защитой). 



> Поставьте нормальный антивирь, фаервол и браузер с защитой от фишинга - опера или мозила. И будет Вам счастье.


Мазила использует базы от гугла, поэтому она знает намного больше таких сайтов чем Опера. В этом плане советую Мозилу

----------


## 1205

> Мазила использует базы от гугла, поэтому она знает намного больше таких сайтов чем Опера. В этом плане советую Мозилу


И именно Firefox 3. В 3 версии было добавлено детектирование сайтов, "подозреваемых в атаках на компьютеры". Именно с такой формулировкой блокируются подобные сайты с лже-антивирусами. Также 3 лиса отлично блокирует сайты, распространяющие вредоносное ПО, китайские сайты с эксплойтами и т.д. Во второй версии была только защита именно от мошеннических сайтов (имитирующих др. сайты).
В KIS 2009 есть анти-фишинг и блокировка опасных сайтов, но работает это как-то очень избирательно. (Блокирует подобных страниц гораздо меньше, чем Firefox.)

----------


## akok

ASWPRO.... - самое неприятное, что при каждом обновлении приходится бороться, с ботами или людьми, которые пытаются разбросать ссылки на форумах. Позиционируя их как панацею от всех недугов.

----------


## Strange

Ребят, а разве нельзя написать хостерам этого барахла? Они прикроют, обычно это довольно оперативно происходит.

----------


## Eele

Вот мне опять нечего делать ) ползаю по новостям. MaxAntiSpy теперь тоже заявлен официально в числе фальшивок. Вот статья:
http://aferizmu.net/content/view/80/37/

----------


## SDA

Новый продукт – *VirusRemover2008*.  Ничем не отличается от своих предшественников, так же хочет чтобы заплатили деньги, за «лечение компьютера». 
HijackThis показывает заражение:
O4 - HKLM\..\Run: [VirusRemover2008] C:\Program Files\VirusRemover2008\VRM2008.exe 
Программа должна быть установлена пользователем вручную; никаких самостоятельных действий по своей установке она не производит. При установке создаются следующие файлы:

    * %ProgramFiles%\VirusRemover2008\VRM2008.exe - (определяется VirusRemover200 :Cool: 
    * %ProgramFiles%\VirusRemover2008\Viruses.bdt - (пустой файл)
    * %SystemDrive%\VirusRemover2008.lnk
    * %SystemDrive%\Documents and Settings\Administrator\Desktop\VirusRemover2008.ln  k
    * %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\VirusRemover2008
    * %SystemDrive%\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\VirusRemover2008.lnk


(%ProgramFiles% - директория для установки приложений по умолчанию; %SystemDrive% - системный диск, обычно "C:")

Делает в реестре запись, обеспечивающую автозагрузку при каждом старте системы:

    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Run\"VirusRemover2008" = "%ProgramFiles%\VirusRemover2008\VRM2008.exe"


В реестре создаются также следующие записи:

    * HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"Acti  vationCode" = "36"
    * HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"Cook  ieParams" = "29"
    * HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"Infe  ctionCount" = "4"
    * HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"Inst  allDate" = "16"
    * HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"Last  DetectTime" = "[RANDOM HEXIDECIMAL STRING]"
    * HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"Last  ScanTime" = "[RANDOM HEXIDECIMAL STRING]"
    * HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"Tota  lScanCount" = "4"
    * HKEY_LOCAL_MACHINE\SOFTWARE\VirusRemover2008\"Upda  teEnabled" = "1"
    * HKEY_LOCAL_MACHINE\SOFTWARE\{5222008A-DD62-49c7-A735-7BD18ECC7350}
    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Uninstall\VirusRemover2008


ЗАЩИТА

    * Отключить функцию "Восстановление системы" (для Windows  XP)
    * Полностью проверить систему антивирусом с обновлённой базой сигнатур
    * Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Фальшивый антивирус для платформы Windows. Сообщает о наличии на компьютере вредоносных программ, которые на самом деле не существуют, и предлагает оплатить полную версию для их удаления.

Разработчик: NewBonn, Inc.; название: VirusRemover2008.

источник: Symantec.com

----------


## SDA

XP Antivirus 2008

в HijackThis:
O2 - BHO: (без названия) - (4e7bd74f-2b8d-469e-dcf7-f96da086b434) - (нет файла)
O2 - BHO: (no name) - {6C6B8C69-9285-4D94-8492-9E920C8C2B65} - (no file) O2 - BHO: (без названия) - (6C6B8C69-9285-4D94-8492-9E920C8C2B65) - (нет файла)
O2 - BHO: (no name) - {74f25a2c-22b3-4023-8f1a-ca616c30a8b5} - (no file) O2 - BHO: (без названия) - (74f25a2c-22b3-4023-8f1a-ca616c30a8b5) - (нет файла)
O2 - BHO: (no name) - {9a19966f-ae0e-4699-8cce-9b6f5f1c352c} - (no file) O2 - BHO: (без названия) - (9a19966f-ae0e-4699-8cce-9b6f5f1c352c) - (нет файла)
O2 - BHO: (no name) - {D714A94F-123A-45CC-8F03-040BCAF82AD6} - (no file) O2 - BHO: (без названия) - (D714A94F-123A-45CC-8F03-040BCAF82AD6) - (нет файла)
O4 - HKLM\..\Run: [System] C:\WINDOWS\krln32.exe O4 - HKLM \ .. \ Run: [Система] C: \ WINDOWS \ krln32.exe
O4 - HKLM\..\Run: [Windows Framework] C:\WINDOWS\system32\scvh0st.exe O4 - HKLM \ .. \ Run: [Windows Рамочной] C: \ WINDOWS \ system32 \ scvh0st.exe
O4 - HKLM\..\Run: [mmnext06] C:\Program Files\Common Files\trjdwnl.dll O4 - HKLM \ .. \ Run: [mmnext06] C: \ Program Files \ Common Files \ trjdwnl.dll
O4 - HKLM\..\Run: [shellbn] C:\WINDOWS\shlext32.exe O4 - HKLM \ .. \ Run: [shellbn] C: \ WINDOWS \ shlext32.exe
O4 - HKCU\..\Run: [XP Antivirus] C:\Program Files\XPAntivirus\XPAntivirus.exe O4 - HKCU \ .. \ Run: [XP Antivirus] C: \ Program Files \ XPAntivirus \ XPAntivirus.exe
O4 - HKCU\..\Run: [10181281926292389167514053783761] C:\Program Files\XP Antivirus\xpa.exe O4 - HKCU \ .. \ Run: [10181281926292389167514053783761] C: \ Program Files \ XP Antivirus \ xpa.exe

файлы:
с: \ Program Files \ XP Антивирусы
c:\Program Files\XP Antivirus\xpa.exe с: \ Program Files \ XP Antivirus \ xpa.exe
C:\Program Files\XPAntivirus\ C: \ Program Files \ XPAntivirus \
C:\Program Files\XPAntivirus\XPAntivirus.exe C: \ Program Files \ XPAntivirus \ XPAntivirus.exe
c:\WINDOWS\system32\scui.cpl с: \ WINDOWS \ system32 \ scui.cpl
%UserProfile%\Desktop\XP Antivirus 2008.lnk % UserProfile% \ Desktop \ XP Antivirus 2008.lnk
%UserProfile%\Start Menu\XP Antivirus 2008 % UserProfile% \ Start Menu \ XP Antivirus 2008
%UserProfile%\Start Menu\XP Antivirus 2008\Uninstall XP Antivirus 2008.lnk % UserProfile% \ Start Menu \ XP Antivirus 2008 \ XP Удалить Antivirus 2008.lnk
%UserProfile%\Start Menu\XP Antivirus 2008\XP Antivirus 2008.lnk % UserProfile% \ Start Menu \ XP Antivirus 2008 \ XP Antivirus 2008.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\XP Antivirus 2008.lnk % UserProfile% \ Application Data \ Microsoft \ Internet Explorer \ Быстрый старт \ XP Antivirus 2008.lnk
C:\WINDOWS\krln32.exe C: \ WINDOWS \ krln32.exe
C:\WINDOWS\system32\scvh0st.exe C: \ WINDOWS \ system32 \ scvh0st.exe
C:\Program Files\Common Files\trjdwnl.dll C: \ Program Files \ Common Files \ trjdwnl.dll
C:\WINDOWS\shlext32.exe C: \ WINDOWS \ shlext32.exe

реестр:
HKEY_CURRENT_USER \ Software \ XP антивирус
HKEY_CURRENT_USER\Software\ HKEY_CURRENT_USER \ Software \
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\X  PAntivirusFilter HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ XPAntivirusFilter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\XPAntivirusFilter HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ XPAntivirusFilter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Explorer\Browser Helper Objects\{4e7bd74f-2b8d-469e-dcf7-f96da086b434}\ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Объекты \ (4e7bd74f-2b8d-469e-dcf7-f96da086b434) \
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Explorer\Browser Helper Objects\{6C6B8C69-9285-4D94-8492-9E920C8C2B65}\ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Объекты \ (6C6B8C69-9285-4D94-8492-9E920C8C2B65) \
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Explorer\Browser Helper Objects\{74f25a2c-22b3-4023-8f1a-ca616c30a8b5}\ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Объекты \ (74f25a2c-22b3-4023-8f1a-ca616c30a8b5) \
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Explorer\Browser Helper Objects\{9a19966f-ae0e-4699-8cce-9b6f5f1c352c}\ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Объекты \ (9a19966f-ae0e-4699-8cce-9b6f5f1c352c) \
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Explorer\Browser Helper Objects\{D714A94F-123A-45CC-8F03-040BCAF82AD6}\ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Объекты \ (D714A94F-123A-45CC-8F03-040BCAF82AD6) \
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Uninstall\XP antivirus_is1\ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ XP antivirus_is1 \
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre  ntVersion\Run "XP Antivirus" HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run "XP Antivirus"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Run "mmnext06" HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run "mmnext06"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Run "shellbn" HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run "shellbn"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Run "System" HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run "Система"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Run "Windows Framework" HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run "Windows Framework"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre  ntVersion\Run " HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run " "

----------


## taloran

Вот ещё одна поделка  под наззванием  IE Antivirus =)
Подробнее 
http://forum.oszone.net/thread-109782.html

----------


## senyak

IE уже ловит Аутпост и блокирует ихний сайт

----------


## DVi

> Вот ещё одна поделка  под наззванием  IE Antivirus =)
> Подробнее 
> http://forum.oszone.net/thread-109782.html


Красивое решение дано на форуме oszone: удалить с машины один псевдо-антивирус с помощью другого псевдо-антивируса  :Cheesy:

----------


## priv8v

они видимо посчитали, что этот антивирус модифицироваться не будет (и соответственно его мд5 файлов его будет неизменным) и можно его  значит ловить таким примитивным способом :Wink: 
хотя достаточно там будет его перепродать другим мошенникам, они в билдере вобьют адрес своего сайта и свои данные... и все - мд5 поменяется и ...
 :Huh: 
 :Smiley:

----------


## taloran

> Красивое решение дано на форуме oszone: удалить с машины один псевдо-антивирус с помощью другого псевдо-антивируса


Народ совсем обленился и   изголяется как может  :Roll Eyes (Sarcastic): 
Им нужны нестандартные решения  :Cheesy: 
Я уже не обращаю внимания на такие вещи, когда в подобных случаях  рекламируются всякие проги  сомнительные. Пущай балуются. Некоторые довольны =))




> IE уже ловит Аутпост и блокирует ихний сайт


Для профилактики не помешает напомнить.

----------


## senyak

Вчера на одном из варезов выложили ссылку на Вконтакте агента, но размер его 500 кбайт. Авира его на тот момент незнала, КАВ знал. В лабораторию Авиры отправил. http://www.virustotal.com/ru/analisi...f22cf8f223e8f1

----------


## SDA

В последнее время активизировался троян который своими действиями напоминает: joke-bluescreen[McAfee] и Generic Downloader.k [McAfee] (trojan downloader apher [Webroot], Scam.Iwin [CounterSpy], Win32/Shadown!generic [VET], Trojan-Downloader.Win32.Tiny.bn [Kaspersky]). Этот паразит после заражения компьютера скачивает и устанавливает поддельные антиспайваре программы (Antivirus XP, IE Defender), призывая пользователя к покупке лицензии на эти программы.
Этот троян распространяется посредством спама (сообщения с заголовком cnn.com breaking news или msnbc.com breaking news), дыр в браузерах и Java машине.
Основные проявления трояна:

    * после загрузки компьютера, в качестве фона рабочего стола устанавливается синий цвет
    * появляется сообщение, что компьютер инфицирован и требуется установить антиспайварную программу
    * при сканировании антивирус находит перечисленные выше трояны
    * возможно отключение некоторых функций Windows (System restore, Taskbar)
    * резкое замедление работы компьютера.

и появление новых паразитов:
XpertAntivirus - Загружается с сайтов: xpertantivirus.com : 91.208.0.230, scanner-xpertantivirus.com : 91.208.0.246.
SpywarePrevent - Загружается с сайта: spywarePreventer.com : 216.255.186.253.
Power Antivirus - Загружается с сайта: 91.208.0.231, scanner-pwrantivirus.com : 91.208.0.246.
MS Antivirus - Загружается с сайтов: msantivirusxp.com : 91.208.0.229; msscanner.com : 91.208.0.228.
Antivir64 - Загружается с сайта: Antivir64.com; IP Address: 78.157.142.7
XP Guard - Загружается с сайта: XP-Guard.com; IP Address: 92.62.101.35

----------


## Jolly Rojer

Похоже нужно начинать выкладывать black листы... Думаю администраторам предприятий (и частным пользователям) было бы полезно заблокировать многие ресурсы и нежелательные ссылки, дабы обезопасить свои организации от посещения сотрудниками этих страниц, хотя сложное это дело и устаревать некоторые будут очень быстро.

----------


## Alex_Goodwin

Интересные подробности:



> Развод кроликов: правда об XP Antivirus Публикацией нижеизложенного текста я явно навлекаю на SecureBlog DDoS, поскольку тот сайт, где это впервые было опубликовано несколько дней назад — с тех пор валяется под атакой.
> 
> Однако, сам факт этой атаки только подтверждает правдивость изложенных в тексте фактов, а волков бояться — в лес не ходить.
> 
> В любом случае, информацию уже не остановить, а средств для публикации у нас еще много  
> 
> 
> Раньше модно было прятать несуществующий "приват" по несуществующим
> разделам многочисленных тупых форумов. Сейчас это уже не модно, теперь
> ...


Взято тут - http://www.secureblog.info/articles/320.html

+ Бонус  - скрины  :Smiley: 

http://radikal.ru/F/s54.radikal.ru/i...002aa.jpg.html
http://radikal.ru/F/s57.radikal.ru/i...4e194.jpg.html
http://radikal.ru/F/s53.radikal.ru/i...1027e.jpg.html
http://radikal.ru/F/i020.radikal.ru/...325c8.jpg.html
http://radikal.ru/F/s47.radikal.ru/i...74838.jpg.html

----------


## DVi

Так вот откуда ноги растут у всех этих АнтивирусовХР2008  :Smiley:

----------


## SDA

Появились новые загрузчики паразитов:

Video ActiveX Codec -  подделка под кодек.Существует несколько типов этих кодеков: VideoCach, MediaTubeCodec, Media Codec Software, VideoAccessCodec. Причем в отличии от троянов и вирусов, пользователь обманутый сообщением(Video ActiveX Object Error) на экране сам скачивает и заражает свой компьютер.
Кроме этого в последнее время получила распространение подделка под запрос на обновление Flash плеера (Flash ActiveX Object Error).
Заражение компьютера в этих случаях происходит когда  пользователь посещает сайт, где он хочет посмотреть какой-то видео файл. Сразу после открытия этой страницы выскакивает одно из сообщений и предлагается скачать специальный файл. В результате запуска этого файла происходит заражение. 
Основные симптомы заражения.

    * Появление незнакомых иконок на рабочем столе.
    * Изменение фона рабочего стола, возможно появление надписей на нём, сообщающих о заражении компьютера.
    * При просмотре различных сайтов выскакивают всплывающие окна.
    * Появление сообщений, похожих на сообщения от центра безопасности Windows. В них сообщается о том, что компьютер заражён и предлагается скачать антиспайварную программу. Точнее поддельную антиспайварную программу. 
Появление новой панели инструментов в InternetExplorer.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## anton_dr

Есть ещё softwareprofit. Там аналогично. И ещё несколько софтовых дел партнёрок.

----------


## XP user

Бедные, бедные люди... Когда же закончится этот терроризм? 

Paul

----------


## anton_dr

Кстати, я зарегистрирован на softwareprofit. И могу честно продавать людям свой антивирус  :Smiley:

----------


## senyak

Эти кодеки активно распростроняются с помощью спама на форумах и почты. На форумах под видом порно. Я таких уже кучу накачал

----------


## SDA

Новый паразит:
Trojan-Keylogger.WIN32.Fung - это имя под которым маскируется другой опасный троян, который используется для распространения поддельных антиспайварных программ. В случае заражения компьютера появляется предупреждение системы безопасности Windows, говорящие о том, что встроенный брандмауэр (firewall) обнаружил на  компьютере активность трояна Trojan-Keylogger.WIN32.Fung и предлагается заблокировать его.
Это предупреждение - подделка и  нужно просто его игнорировать. В любом случае у трояна одна задача, вынудить  скачать и установить поддельную антиспаварную программу. Эта программа выполнит сканирование  компьютера и наёдет множество вирусов и троянов. После чего будет требовать купить её, чтобы активировать функцию “удаления” вредоносных программ. Делать этого не нужно, так как и предупреждение системы безопасности Windows описанное выше, так и результаты сканирования - это части одного обмана.

----------


## DontP

Flash ActiveX и Flash codec вообще-то сам по себе очень назойливый. Ведь значимость и информационная необходимость в этих кодеках достаточно сомнительная. Тем же грешит и Акробат с автомтическим открытием PDF файлов. Это и используют для массового распространения зловредов.

----------


## SDA

Antivirus Pro 2009:
Распространяется через сайты имитирующие онлайн сканеры, а так же может быть установлена скрытно от пользователя, посредством троянов TDSServ, braviax, bratsk.exe/karna.dat. Во всех случаях пользователю показывается сообщение, что компьютер заражён и предлагается вылечить его. Для чего необходимо установить Antivirus Pro 2009.
Во время установки Antivirus Pro 2009 настраивает себя таким образом, чтобы запускаться автоматически при каждом запуске Windows. Сразу же после запуска начинается сканирование, при котором на компьютере находится множество вредоносных программ, вирусов, троянов и тд. Причём, часть из этих опасных файлов Antivirus Pro 2009 создал сам, при своей инсталляции на компьютер. Вот часть из таких файлов:

    C:\Documents and Settings\All Users\Application Data\inurev.lib
    C:\WINDOWS\qesuriqu.bat
    C:\WINDOWS\supicane.bin
    C:\WINDOWS\system32\afuny.reg
    C:\Program Files\Common Files\yfila.dat
    C:\Documents and Settings\user\Local Settings\Application Data\towyvo.pif
    C:\Program Files\Common Files\nixef._sy
    C:\Documents and Settings\user\Cookies\omevi.lib
    C:\WINDOWS\xynexi.sys
    C:\Documents and Settings\user\Local Settings\Application Data\rihibevad.com
    C:\Documents and Settings\user\Cookies\ifem.db
    C:\Documents and Settings\All Users\Application Data\oqacywudyd._dl
    C:\Documents and Settings\user\Local Settings\Temporary Internet Files\ufylyz.bat
    C:\Documents and Settings\user\Application Data\ikijosycy.dat
    C:\WINDOWS\system32\lumihedym.dll
    C:\WINDOWS\ytygi._dl
    C:\Documents and Settings\user\Local Settings\Application Data\vake.ban
    C:\WINDOWS\system32\rube.reg
    C:\Documents and Settings\All Users\Application Data\lorasa.inf
    C:\Documents and Settings\user\Cookies\bejuzef.exe
    C:\Program Files\Common Files\ajilimagy._dl
    C:\Documents and Settings\All Users\Application Data\gapevep.dat

После завершения сканирования, Antivirus Pro 2009 предлагает  заплатить определённую сумму денег для того чтобы включить возможность удаления найденных вредоносных программ. Делать этого не нужно, можно смело игнорировать всё то, что  сообщает Antivirus Pro 2009.

Время от времени Antivirus Pro 2009 показывает предупреждения следующего содержания:

    Trojan detected!
    A piece of malicious code was found on your system which can
    replicate itself if no action is taken. Click here to have your
    system cleaned by Antivirus Pro 2009.

Antivirus Pro 2009 может сильно повлиять на производительность  компьютера, а кроме этого, существует опасность воровства  личных данных. Поэтому  рекомендeтся, удалить эту вредоносную программу как можно быстрее.
В удалении зловреда помогут хелперы нашего форума в разделе http://virusinfo.info/forumdisplay.php?f=46&order=desc

----------


## valho

> А есть у вас где-нибудь список "сайтов-подделок" антивирусов ?
> Куда не ходить ни в коем случае ?


Установите себе - McAfee SiteAdvisor, WOT, WebMoney Advisor, думаю этого будет достаточно, в каком нибудь, если сайт давно существует, будет отзыв о нём, правда и там бывает жулики пишут на самих себя положительные отзывы но это очень редко и наоборот, так же в малом количестве.

----------


## SDA

*Winweb Security 2008*
это поддельная антиспайварная программа, которая получила довольно широкое распространение. Эта паразитная программа использует трояны для проникновения на компьютер. Кроме этого часто пользователи сами ошибочно устанавливают Winweb Security 2008 обманутые навязчивой рекламой. В этой рекламе сообщается что компьютер заражён и предлагается скачать и установить Winweb Security 2008 для того чтобы вылечить копьютер.
Во время установки Winweb Security 2008, программа настраивает себя таким образом, чтобы запускаться автоматически каждый раз, когда запускается Windows. Сразу после запуска этот паразит сканирует компьютер и находит множество инфицированных файлов, троянов, вирусов. Если пользователь пытается  вылечить компьютер, то Winweb Security 2008 сообщает о том, что нужно заплатить около 50 долларов, чтобы включить эту возможность.
После заражения, раз в несколько минут, Winweb Security 2008 показывает следующие предупреждения:

    Winweb Security Warning
    Your PC is still infected with dangerous viruses. Activate
    antivirus protection to prevent data loss and to avoid the
    theft of your credit card details.
    Click here to activate protection. 

    Winweb Security Warning
    Some critical system files of your computer were modified by
    malicious program. It may cause system instability and data
    loss.
    Click here to block unathorised modification by removing
    threats (Recommended) 

HijackThis показывает заражения:

O2 - BHO: BHOws Object - {D5DF7C9D-6069-4552-8B0C-D02A912FC889} - ws.dll (file missing)
O4 - HKLM\..\Run: [adpws] “C:\Documents and Settings\All Users\Application Data\5689887B.exe”
O4 - HKLM\..\Run: [{90BF8224-CD63-4081-A4C7-EF9A2CF6596F}] “C:\Documents and Settings\All Users\Application Data\A974FA49.exe”
O4 - HKLM\..\Run: [WinwebSecurity] “C:\Documents and Settings\All Users\Application Data\WinwebSecurity\WinwebSecurity.exe”

*Добавлено через 4 минуты*

*Троян Vundo*
это опасный и широкораспространённый троян, так же известен как VirtuMonde, WindowsUpd, Adware.VirtuMonde, TrojanDownloader.Win32.Agent.e, ADW_TARGETSOFT.A. Этот троян довольно трудно удалить с компьютера, при этом часто с ним не справляются многие именитые антивирусные и снтиспайварные программы. Причина этому - полиморфизм трояна, каждый компьютер заражён индивидуальным образом, при этом при каждой перезагрузке часть компонентов меняет свои имена и CLSID. Но при этом троян Vundo обладает рядом признаков, по которым опытный специалист его сразу узнает.
Основные симптомы заражения трояном Vundo.

    * Множество вплывающих окон.
    * Резкое замедление работы компьютера.
    * Поддельные сообщения службы безопасности о том, что компьютер заражён и необходимо скачать специальную программу, чтобы вылечить компьютер. *ОБЯЗАТЕЛЬНО игнорируйте это сообщение, ни в коем случае не скачивайте и не устанавливайте никаких дополнительных программ*
    * Ваш антивирус сообщает об заражении компьютера трояном Vundo и не может его удалить.

HijackThis показывает заражёние.

O2 - BHO: WTLHelper Object - {75DC57F8-D831-4AB8-86B7-4F826F4A0873} - C:\WINDOWS\system32\unnqw.dll
O2 - BHO: (no name) - {10654df0-1449-4b62-82e9-9a6f61cc2ed7} - C:\WINDOWS\system32\yehifuni.dll (file missing)
O4 - HKLM\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s
O4 - HKLM\..\Run: [CPM3b906d0c] Rundll32.exe “c:\windows\system32\henemate.dll”,a
O4 - HKLM\..\Run: [38a35e90] rundll32.exe “C:\WINDOWS\system32\wavemile.dll”,b
O4 - HKLM\..\Run: [prunnet] “C:\WINDOWS\system32\prunnet.exe”
O4 - HKLM\..\Run: [jsf8j34rgfght] C:\DOCUME~1\user\LOCALS~1\Temp\winloggn.exe
O4 - HKCU\..\Run: [gadcom] “C:\Documents and Settings\user\Application Data\gadcom\gadcom.exe” 61A847B5BBF728173599284503996897C881250221C8670836  AC4FA7C8833201749139
O4 - HKUS\S-1-5-19\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘LOCAL SERVICE’)
O4 - HKUS\S-1-5-20\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘NETWORK SERVICE’)
O20 - AppInit_DLLs: c:\windows\system32\kabunabo.dll c:\windows\system32\pasaruwe.dll c:\windows\system32\vinomisu.dll c:\windows\system32\zahuzihi.dll C:\WINDOWS\system32\tazeyubo.dll C:\WINDOWS\system32\wifufulu.dll c:\windows\system32\gesekise.dll c:\windows\system32\kelinepe.dll c:\windows\system32\henemate.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\kelinepe.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\kelinepe.dll

Примечание: как видно  из примеров выше в качестве имён файлов используется случайный набор символов. Трояно Vundo поражает практически все возможные способы автозапуска, причём HijackThis не показывает все эти способы.

----------


## SDA

Еще одна фальшивка:http://advanced-spyware-detect.com/r...loadtrial.html
по поводу последствий установки фальшивки не проверял, но интересно следующее(цитаты для рекламы):

....Антивирус aSD показал минимальное замедление системы при копировании файлов (прирост 31% по сравнению с «чистой» системой), при кодировании медиа-файлов (3%), при загрузке (12%). В среднем время выполнения задач в системе с установленным антивирусом aSD возрастает на 22%, что позволило AV-Comparatives выставить продукту оценку «very fast» (очень быстрый).

Николай Терещенко, технический директор компании AV-Comparatives (в AV-Comparatives  не работает)

В качестве одного из возможных путей развития антивирусного ПО нами был выбран путь классического антивируса. Вследствие этого, основной упор делался на качество детектирования и количество поддерживаемых форматов данных. Антируткит-технологии в антивирусе aSD начали развиваться сравнительно недавно. Также хочется отметить, что т.н. антируткит-технологии развиваются и как часть антивирусного ядра, работу которых пользователи смогут увидеть в следующих версиях антивируса.

Сергей Уласень, начальник отдела разработки антивирусного ядра компании «AVB» (настоящее название VBA)

Продукт вобрал в себя все лучшее и востребованное сейчас на рынке: систему защиты почтового шлюза от всех видов угроз, включая вирусы, шпионское ПО, спам и DoS атаки.

Керценбаум Кирилл Symantec Certified Sales Specialist

"Интересные" комментарии  :Smiley: 
Даже если этот так называемый антивирус стоимостью 39.95$
с пожизненым обновлением баз вирусов поделка а-ля Калинин и не несет явного вреда, то наглость мошенников придумавшие "фальшивые комментарии" поражает.

Про вредность: http://www.virustotal.com/analisis/a...c49979a987a415

----------


## valho

> Еще одна фальшивка:


что то быстро спалился он у импортных, за три дня и уже красный http://hosts-file.net/?s=advanced-spyware-detect.com




> Безопасность вашего компьютера под угрозой!
> Обнаружены 5 вирусов, 3 из них опасны для работы компьютера.

----------


## SDA

Новый зловред:
*Anti-virus-1* это поддельная антивирусная программа, которая является обновлением широко распространившихся Antivirus 2010 и Antivirus 360. Как и свои собратья Anti-virus-1 использует трояны для незаметного проникновения на компьютер. После этого этот паразит прописывается в автозагрузку и таким образом запускается каждый раз, когда запускается Windows.

Немедленно после запуска, Anti-virus-1 начинает сканировать  компьютер и находит множество троянов, вирусов и других проблем. Например: Infostealer.Banker.E, Spyware.IEMonster.d, Zlob.PornAdvertiser.ba, Spyware.IMMonitor. Если  попытатся вылечить свой компьютер, то  будет предложено купить полную версию программы. Делать этого не нужно, так как всё что было найдено на  компьютере на самом деле не существует.

Когда Anti-virus-1 запущен, компьютер будет показывать различные предупреждения, такие как:

    svchost.exe
    Internal conflict alert.
    Anti-virus-1 detected internal software conflict. Some applicztion tries to get access to system kernel (such behavior is typical to Spyware/Malware). It may cause crash of your computer. 

    Spyware activity alert!
    Spyware.IEMonster activity detected. It is spyware that attempts to steal passwords from Internet Explorer, Mozilla Firefox, Outlook and other programs, including logins and passwords from online banking sessions, eBay, PayPal.

Кроме всего сказанного выше, Anti-virus-1 может заметно замедлить работу  компьютера.
HijackThis показывает заражение.

O1 - Hosts: 217.20.175.74 [url]www.review.2009softwarereviews.com
O1 - Hosts: 217.20.175.74 review.2009softwarereviews.com
O1 - Hosts: 217.20.175.74 a1.review.zdnet.com
O1 - Hosts: 217.20.175.74 [url]www.d1.reviews.cnet.com
O1 - Hosts: 217.20.175.74 [[url]www.reviews.toptenreviews.com
O1 - Hosts: 217.20.175.74 reviews.toptenreviews.com
O1 - Hosts: 217.20.175.74 [[url]www.reviews.download.com
O1 - Hosts: 217.20.175.74 reviews.download.com
O1 - Hosts: 217.20.175.74 [url]www.reviews.pcadvisor.c.uk
O1 - Hosts: 217.20.175.74 reviews.pcadvisor.co.uk
O1 - Hosts: 217.20.175.74 [url]www.reviews.pcmag.com
O1 - Hosts: 217.20.175.74 reviews.pcmag.com
O1 - Hosts: 217.20.175.74 [[url]www.reviews.pcpro.co.uk
O1 - Hosts: 217.20.175.74 reviews.pcpro.co.uk
O1 - Hosts: 217.20.175.74 [url]www.reviews.reevoo.com
O1 - Hosts: 217.20.175.74 reviews.reevoo.com
O1 - Hosts: 217.20.175.74 [url]www.reviews.riverstreams.co.uk
O1 - Hosts: 217.20.175.74 reviews.riverstreams.co.uk
O1 - Hosts: 217.20.175.74 [url]www.reviews.techradar.com
O1 - Hosts: 217.20.175.74 reviews.techradar.com
O2 - BHO: QWProtectBHO - {70FEAD04-A7FD-4B89-B814-8A8251C90EF7} - C:\Documents and Settings\All Users\Application Data\AV1\QWProtect.dll
O4 - HKLM\..\Run: [Monitor calibration] C:\Documents and Settings\All Users\Application Data\AV1\AV1i.ex

----------


## SDA

*Spyware Protect 2009*

Spyware Protect 2009 - это поддельная антиспайварная программа. В основном распространяется через трояны (троян TDSSserv и троян Vundo), а так же через поддельные онлайн сканеры - наиболее любимую обманную тактику, которую часто используют авторы таких вредоносных программ. Кроме этого Spyware Protect 2009 устанавливается при заражении компьютера последней версией червя Conficker. При этом в механизме распространения есть блокировочный механизм:
- с домашней странички Spyware Protect 2009 вы не сможете её скачать, только купить;
- вы не сможете скачать программу, если ваш компьютер имеет айпи адрес из блока адресов, который входит в безопасную зону, например с русским айпи вы не сможете скачать Spyware Protect 2009, когда вам будет это предложено на сайте поддельного онлайн сканера.
Описанными выше методами, авторы этой паразитической программы пытаются защититься от скачивания программы для анализа, а так же отсечь страны, которые не принесут по их мнению никаких денег.
После заражения, поведение Spyware Protect 2009 на компьютере довольно стандартно. Программа обязательно прописывается в автозагрузку, а затем начинает “сканировать” компьютер. Параллельно этому показывая различные предупреждения:
компьютер заражён:
Windows Security alert
Windows reports that computer is infected. Antivirus software
helps to protect your computer against viruses and other
security threats. Click here for the scan your computer. Your
system might be at risk now.

на компьютер совершается интернет атака:
    INFILTRATION ALERT

    Your computer is being attacked by an Internet
    Virus. It could be a password-stealing attack, a
    trojan - dropper or simular.

    DETAILS

    Attack from: 100.53.148.153, port 42733
    Attacked port: 14750
    Threat: Win32/Nuqel.E

    Do you want block this attack?

Результат сканирования всегда один - компьютер заражён множеством вирусов, троянов и спайваре. Необходимо срочное лечение. Но в реальности компьютер заражён только одним паразитом - этой поддельной антиспайварной программой.
Симптомы заражения в HijackThis логе

O2 - BHO: BHO - {ABD42510-9B22-41cd-9DCD-8182A2D07C63} - C:\WINDOWS\system32\iehelper.dll
O4 - HKCU\..\Run: [system tool] C:\WINDOWS\sysguard.exe

----------


## valho

> *Spyware Protect 2009*
> 
> - вы не сможете скачать программу, если ваш компьютер имеет айпи адрес из блока адресов, который входит в безопасную зону, например с русским айпи вы не сможете скачать Spyware Protect 2009, когда вам будет это предложено на сайте поддельного онлайн сканера.


Из всех где это видел, несколько десятков сайтов и вправду не дают скачивать

----------


## Winsent

Из этой же серии?




> BlockPost 2009 - cредство для обнаружения и защиты от вредоносных программ для операционной системы Windows 2000/XP/Vista с файловой системой NTFS.
> BlockPost 2009 блокирует создание, модификацию и удаление файлов любого типа на персональном компьютере, полностью пресекая возможность его инфицирования вредоносным ПО. При несанкционированной активности, программа информирует какой именно процесс пытается выполнить запрещенную операцию, что позволяет своевременно выявить факт заражения.
> Это инновационная разработка в сфере борьбы с вредоносным программным обеспечением. Основываясь на общей для всех вирусов особенности размножения, программа способна своевременно выявить и предотвратить распространение вирусных программы на компьютере.
> Данный продукт представляет собой идеальное решение для серверов и рабочих станций, обеспечивая наивысший уровень защиты от компьютерных вирусов и иных вредоносных программ.
> 
> blockpost.info

----------


## Damien

> Из этой же серии?
> 
> Цитата:BlockPost 2009


чтоб его скачать с оф. сайта нужно свои данные присылать и в тестеры записаться. Слишком сложно его подцепить  :Smiley:

----------


## Kuzz

> чтоб его скачать с оф. сайта нужно свои данные присылать и в тестеры записаться. Слишком сложно его подцепить





> Скачать
> Последняя версия программы BlockPost 2009 3.0.5 (2,9Мб)


А в тестеры я не записывался.. И данные свои не отсылал

----------


## SDA

*Antivirus System PRO*

Antivirus System PRO - это поддельная антиспайварная программа, которая является новой версией программы Spyware protect 2009. Эта вредоносная программа была обнаружена уже довольно давно, но только в последние несколько дней активность её распространения значительно увеличилась, при этом как и раньше, для проникновения на компьютер используются разнообразные трояны.
Antivirus System PRO, как и Spyware protect 2009, не имеет своего домашнего каталога, а размешает свои компоненты в системных каталогах Windows. Основных компонентов два:
sysguard.exe - основной компонент программы, который обеспечивает интерфейс, генерацию различных поддельных сообщений, сообщающих о том, что компьютер заражён. Например:

    Windows Security alert
    Windows reports that computer is infected. Antivirus software
    helps to protect your computer against viruses and other
    security threats. Click here for the scan your computer. Your
    system might be at risk now.

iehelper.dll - этот компонент устанавливается как расширение Internet Explorer (BHO модуль) и отвечает за блокирование доступа к антивирусным и антиспайварным сайтам, а кроме этого время от времени вместо страницы, которую должен открыть браузер, показывает специально сделанный сайт, который выдаёт себя за сайт от компании Microsoft. На этой поддельной страничке предлагается купить Antivirus System PRO для защиты компьютера. Вот содержимое этой подделки:

    Internet Explorer Warning - visiting this web site may harm your computer!

    Most likely causes:Antivirus System PRO
    The website contains exploits that can launch a malicious code on your computer
    Suspicious network activity detected
    There might be an active spyware running on your computer

    What you can try:
    - Purchase Antivirus System PRO for secure Internet surfing (Recommended).
    - Check your computer for viruses and malware.
    - More information 

В остальном поведение Antivirus System PRO стандартно. После запуска, паразит создаёт запись в HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre  ntVersion\Run ключе реестра Windows, обеспечивая таким образом себе автозагрузку каждый раз, когда загружается Windows. Затем запускается имитатор сканирования компьютера, результат один - компьютер заражён, срочно требуется лечение. Хотите вылечить, тогда деньги вперёд! Как было сказано уже неоднократно, платить не нужно. Игнорируйте все сообщения от программы Antivirus System PRO, а так же сообщения которые как бы показывает Windows, призывая вас купить эту вредоносную программу.

HijackThis показывает заражение

O1 - Hosts: 209.44.111.57 security.microsoft.com
O1 - Hosts: 209.44.111.57 inetavirus.com
O2 - BHO: BHO - {BAD4551D-9B24-42cb-9BCD-818CA2DA7B63} - C:\WINDOWS\system32\iehelper.dll
O4 - HKCU\..\Run: [system tool] C:\WINDOWS\sysguard.exe

----------


## nisome

> Flash ActiveX и Flash codec вообще-то сам по себе очень назойливый.


Обычный флеш очень назойливый. Никак не могу найти способ выключить автоматическое скачивание новой версии. Каким-то образом скачивается и обходит проверку AVP на добавление в автозагрузку. Может кто знает, как заблокировать скачку новой версии и прописывание в автозагрузку?

----------


## SDA

> Обычный флеш очень назойливый. Никак не могу найти способ выключить автоматическое скачивание новой версии. Каким-то образом скачивается и обходит проверку AVP на добавление в автозагрузку. Может кто знает, как заблокировать скачку новой версии и прописывание в автозагрузку?


Убрать апдейтор из автозагрузки.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## SDA

*AntivirusBEST* - это поддельная антивирусная программа. Как и другие подобные программы, она использует обманную тактику для проникновения на компьютер, которая довольно проста. Пользователь тем или иным образом перенаправляется на сайт, который выглядит как онлайн сканер или окно с папкой мой компьютер. После этого имитируется процесс сканирования, результат которого всегда один - компьютер заражён и требуется лечение. Тут же предлагается скачать и установить программу AntivirusBEST, которая является “лучшим антивирусом”. Кроме описанного выше возможно и распространение этой вредоносной программы через трояны.
После попадание на компьютер поведение AntivirusBEST довольно стандартно, программа прописывается в автозагрузку, для чего создаёт запись в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr  entVersion\Run, а так же устанавливает свой компонент QWProtect.dll как BHO модуль браузера Internet Explorer. После этого запускается имитатор сканирования компьютера. Результат такого сканирования всегда один - компьютер заражён множеством вредоносных программ (spyware, trojans, rogue, backdoor …). Всё это обман нужный для того, чтобы вынудить пользователя купить AntivirusBEST.

Во время своей работы AntivirusBEST так же показывает различные предупреждения о том что компьютер заражён, например:

    AntivirusBEST
    Privacy Violation alert!
    AntivirusBEST detected a Privacy Violation. A program is
    secretly sending your private data to an untrusted internet
    host. click here to block this activity by removing the threat
    (Recomended).

    AntivirusBEST
    Spyware activity alert!
    Spyware.IMonster activity detected! Its is spyware that
    attempts to steal passwords from Internet Explorer, Mozilla
    Firefox, Outlook and other programs, including logins and
    passwords from online banking sessions, eBay, PayPal.

Кроме этого, компонент QWProtect.dll, показывает в окне браузера жёлтую строку с предупреждающей надписью “Internet Explorer has found an unregistered version of AntivirusBEST. To protect your computer, please register your AntivirusBEST”. Все эти ложные сообщения, что генерирует этот поддельный антивирус, нужно игнорировать. 

*HijackThis* показывает заражение

O1 - Hosts: 70.38.19.201 [url]www.review.2009softwarereviews.
O1 - Hosts: 70.38.19.201 review.2009softwarereviews.
O1 - Hosts: 70.38.19.201 a1.review.zdnet.com
O1 - Hosts: 70.38.19.201 [url]www.d1.reviews.cnet.
O1 - Hosts: 70.38.19.201 [url]www.reviews.toptenreviews.
O1 - Hosts: 70.38.19.201 reviews.toptenreviews.com
O1 - Hosts: 70.38.19.201 [url]www.reviews.download.
O1 - Hosts: 70.38.19.201 reviews.download.com
O1 - Hosts: 70.38.19.201 [url]www.reviews.pcadvisor.c
O1 - Hosts: 70.38.19.201 reviews.pcadvisor.co.uk
O1 - Hosts: 70.38.19.201 [url]www.reviews.pcmag.
O1 - Hosts: 70.38.19.201 [url]www.reviews.pcpro.co.uk
O1 - Hosts: 70.38.19.201 reviews.pcpro.co.uk
O1 - Hosts: 70.38.19.201 [url]www.reviews.reevoo.
O1 - Hosts: 70.38.19.201 reviews.reevoo.com
O1 - Hosts: 70.38.19.201 [url]www.reviews.riverstreams.co.
O1 - Hosts: 70.38.19.201 reviews.riverstreams.co.uk
O1 - Hosts: 70.38.19.201 [url]www.reviews.techradar.com
O1 - Hosts: 70.38.19.201 reviews.techradar.
O1 - Hosts: 70.38.19.201 d1.reviews.cnet.
O2 - BHO: QWProtectBHO - {44B2C9F5-608D-46de-82E1-26C5BCB85193} - C:\Documents and Settings\All Users\Application Data\AB\QWProtect.dll
O4 - HKLM\..\Run: [AntivirusBEST] C:\Documents and Settings\All Users\Application Data\AB\Installer.exe

----------


## SDA

*WindowsSecuritySuite - очередной подделльный антивирус*

Обнаружен новый поддельный антивирус, который обманом пытается вынудить пользователя купить его, сообщает Lavasoft.com. Его название - WindowsSecuritySuite.
Как и большинство других подделок под антивирусное и антишпионское ПО (Ultra Antivir2009, Virus Alert, Virus Melt, Virus Doctor, VirusAlarmPro, FastAntiVirus и т.п.), WindowsSecuritySuite после инсталляции прописывается в автозагрузку и поэтому запускается автоматически при каждом включении компьютера, после чего пользователю демонстрируется окно с имитацией процесса сканирования компьютера.

Результат этого "сканирования" всегда один: компьютер якобы заражен множеством вирусов, троянов и других вредоносных программ. После выдачи такого удручающего сообщения обычно предлагается возможность "вылечить" компьютер, а если воспользоваться функцией "лечение", то в браузере Internet Explorer откроется страница, на которой будет предложено купить этот "антивирус" путем указания в имеющейся там формочке данных вашей кредитной карты. Естественно, вводить в форму ничего не нужно, так как это чистой воды развод на деньги.

Несмотря на то, что у нас не так уж часто покупают ПО (и уж тем более с использованием кредитки), все равно имеет смысл не засорять свой компьютер подобными подделками, поэтому не стоит скачивать программы с малознакомых или/и сомнительных сайтов.
http://lavasoft.com/mylavasoft/securitycenter/blog

----------


## antanta

*Wayfarer*, при таком количестве сообщений - и такой рейтинг! Не подумайте, что завидую... 
 Не думаю, что в этом дело, но стиль изложения - класс! ИМХО, разумеется  :Cheesy:

----------


## SDA

*Home Antivirus 2010*

Home Antivirus 2010 это программа, которая относится к классу поддельных антиспайварных программ. Она создана только с одной целью, используя обманную тактику вынудить пользователя купить её полную версию. Для достижения поставленной цели используются поддельные сообщения о заражении компьютера, поддельные заражённые файлы и тд.

При своём первом запуске Home Antivirus 2010 прописывается в реестре, обеспечивая таким образом себе автозагрузку при каждом включении компьютера, а так же создаёт несколько файлов, которые позже при сканировании будет определять как заражённые вирусами. После такой “настройки” запускается имитатор процесса сканирования компьютера на предмет наличия вирусов, троянов, спайваре и других вредоносных программ. Результат всегда один, компьютер заражён и требуется лечение. 
Результаты сканирования подделка, так что можно смело их игнорировать. Описанное выше еще не всё то, что делает Home Antivirus 2010 на заражённом компьютере. Эта паразитная программа так же *подменяет центр безопасности Windows* , создавая видимость того, что эту вредоносную программу предлагает использовать компания Microsoft. Кроме этого Home Antivirus 2010,  показывает различные поддельные сообщения о заражении компьютера. Например:

    Privacy alert!
    Your system was found to be infected with intercepting
    programs. These can log your activity and damage your
    privacy. Click here for Home Antivirus 2010 spyware removal.


HijackThis показывает заражение

O4 – HKLM\..\Run: [Home Antivirus 2010] “C:\Program Files\HomeAntivirus2010\HomeAntivirus2010.exe” /hide

----------


## SDA

*Поддельный антивирус мимикрирует под голубой экран смерти Windows*

 Злоумышленники разработали поддельный антивирусный пакет, который мимикрирует под печально известный "голубой экран смерти" Windows.

На фоне якобы вылетевшей системы появляется текстовое предупреждение о необходимости приобретения "ПО для обеспечения безопасности" для очистки компьютера. Однако поддельная утилита *SystemSecurity*
 не предлагает никаких средств избавления от инфекции, а лишь вымогает деньги. Различные варианты SystemSecurity появляются уже с февраля 2009 года, однако трюк с голубым экраном смерти – это новинка в деле обмана пользователей методами социальной инженерии, обнаруженная антивирусной фирмой Sunbelt Software лишь на прошлой неделе. На компьютер жертвы SystemSecurity обычно попадает после установки фальшивых видеокодеков, которые пользователей просят загрузить для просмотра рекламируемых в спам-сообщениях видеоклипов.

http://www.sunbeltsoftware.com/

----------


## SDA

*PC Antispyware 2010*

PC Antispyware 2010 – это поддельная антиспайварная программа, обновление раннее вышедшей паразитной программы Home Antivirus 2010. PC Antispyware 2010 проникает на компьютер посредством использования троянов, в основном это braviax троян. После заражения компьютера, эта вредоносная программа прописывается в автозагрузку и создаёт несколько файлов, которые позднее будут определяться как инфицированные.
Сразу после запуска PC Antispyware 2010, стартует имитатор сканирования компьютера, результат которого всегда один – компьютер заражён. После чего, паразит предлагает вылечить компьютер, но при этом требуется сначала заплатить немалую сумму денег. Если вы откажетесь платить, то PC Antispyware 2010 постоянно будет напоминать о себе показывая различные сообщения о том что компьютер заражён. Например:

    Privacy Alert!
    Your system was found to be infected with intercepting
    programs. These can log your activity and damage your
    privacy. Click here for PC Antispyware 2010 spyware removal. 

Кроме этого программа подменяет центр безопасности Windows, создавая впечатление того, что этого паразита рекомендует Windows. Конечно это всего лишь часть обманной тактики, цель которой одна – получить ваши деньги.
*HijackThis показывает заражение*

O4 – HKLM\..\Run: [PC Antispyware 2010] “C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe” /hide

----------


## SDA

*Smart Virus Eliminator*

Smart Virus Eliminator это новая поддельная антиспайварная программа , продолжение серии, основателем которой был паразит Virus Doctor. Как и ранее, Smart Virus Eliminator использует фальшивые результаты сканирования, поддельные сообщения о заражении компьютера, в качестве способа принудить пользователя к покупке полной версии программы.

Во время заражения компьютера, Smart Virus Eliminator прописывается в автозагрузку, создаёт группу файлов, которые позже будет определять как заражённые, а кроме этого *изменяет реестр Windows, таким образом, чтобы заблокировать запуск наиболее распространнёных антивирусных программ*.

После своего запуска Smart Virus Eliminator запускает имитатор сканирования компьютера и, как другие поддельные антиспайварные программы, находит множество «заражённых» файлов. Причём часть из них, это файлы которые создал Smart Virus Eliminator раннее в процессе заражения.
Smart Virus Eliminator во время своей работы, даже если закрыть окно программы, будет постоянно напоминать о себе, показывать сообщения о том, что якобы компьютер заражён, компьютер подвергается атаке из интернета и тд.
    System Alert
    malicious applications, which can contains trojans, were found
    on your PC and need to be immediately removed. Click here to
    remove these potentially harmful items using Smart Virus
    Eliminator.

    System Alert
    Smart Virus Eliminator has detected potentially harmul
    software in your system. It is strongly recommended that you
    register Smart Virus Eliminator to remove these threats
    immediately.

    Warning! Potential Threat Found!
    Threat detected: Potential Threat
    File name: CLSV.exe
    Threat name: Virus.BAT.IBBM.CLsV
 Если кликнуть по такому сообщению, то откроется окно, в котором вам будет предложено купить полную версию программы.

HijackThis показывает заражение:

O1 – Hosts: 74.125.45.100 4-open-davinci.com
O1 – Hosts: 74.125.45.100 securitysoftwarepayments.com
O1 – Hosts: 74.125.45.100 privatesecuredpayments.com
O1 – Hosts: 74.125.45.100 secure.privatesecuredpayments.com
O1 – Hosts: 74.125.45.100 getantivirusplusnow.com
O1 – Hosts: 74.125.45.100 secure-plus-payments.com
O1 – Hosts: 74.125.45.100 ww.getantivirusplusnow.com
O1 – Hosts: 74.125.45.100 ww.secure-plus-payments.com
O1 – Hosts: 74.125.45.100 ww.getavplusnow.com
O1 – Hosts: 74.125.45.100 ww.securesoftwarebill.co
O1 – Hosts: 74.125.45.100 secure.paysecuresystem.com
O1 – Hosts: 74.125.45.100 4-open-davinci.com
O1 – Hosts: 74.125.45.100 securitysoftwarepayments.com
O1 – Hosts: 74.125.45.100 privatesecuredpayments.com
O1 – Hosts: 74.125.45.100 secure.privatesecuredpayments.com
O1 – Hosts: 74.125.45.100 getantivirusplusnow.com
O1 – Hosts: 74.125.45.100 secure-plus-payments.com
O1 – Hosts: 74.125.45.100 ww.getantivirusplusnow.com
O1 – Hosts: 74.125.45.100 ww.secure-plus-payments.com
O1 – Hosts: 74.125.45.100 ww.getavplusnow.com
O1 – Hosts: 74.125.45.100 ww.securesoftwarebill.com
O1 – Hosts: 74.125.45.100 secure.paysecuresystem.com
O4 – HKCU\..\Run: [Smart Virus Eliminator] “C:\Documents and Settings\All Users\Application Data\7a189\SM105.exe” /s /d

*Добавлено через 8 минут*

*Total Security 2009*

Total Security 2009 (Total Security, Total Security 4.52) это поддельная антиспайварная программа, новая версия System Security – паразита, который заразил множество компьютеров по всему миру. Total Security использует различные обманные методики для своего распространения, начиная поддельными онлайн сканерами и заканчивая троянами. После проникновения на компьютер эта вредоносная программа прописывается в автозапуск.

После того как Total Security запуститься, стартует процедура сканирования компьютера. Как и все подобные программы (поддельные антивирусы и антиспайваре), она находит на компьютере множество инфицированных файлов, троянов, которых на самом деле нет. Результат сканирования является подделкой и нужен только для одной цели – обманом вынудить  купить эту программу.
Описанное выше далеко не всё что делает Total Security на вашем компьютере. Если не купить её полную версию, что несомненно правильно, эта программа постоянно будет бомбардировать  различными предупреждениями от своего имени, так и от имени Windows.
WARNING!
Application cannot be executed. The file mbam.exe is
infected.
Please activate your antivirus software.
    Total Security Warning
    Intercepting program that may compromise your privacy and
    harm your system have been detected on your PC.
    Click here to remove them immediately with Total Security

    Total Security
    WARNING 38 infections found!!!
 Их смысл один – компьютер заражён, купите Total Security и  будет счастье. *А для того чтобы не воспользовались другим антивирусом или антиспайварной программой Total Security блокирует их запуск, а точнее запуск практически всех программ, кроме тех которые нужны для функционирования Windows.*

HijackThis показывает заражение

O4 – HKLM\..\Run: [17195314] C:\Documents and Settings\All Users\Application Data\17195314\17195314.exe

Цифры в имени файлов и названии каталогов индивидуальны для каждого случая заражения.

*Добавлено через 2 минуты*

*SaveDefense*

SaveDefense это новая поддельная антиспайварная программа, которая является продолжением серии программ WiniBlueSoft, WinBlueSoft … Как и другие подобные паразиты SaveDefense при первом запуске настраивает Windows так, чтобы запускаться автоматически каждый раз как вы включаете компьютер. После этого стартует имитатор сканирования, его результат всегда один – компьютер заражён множеством троянов, вирусов и тд.
После чего сразу предлагается вылечить компьютер, но для этого  придётся заплатить немалую сумму. 

HijackThis показывает заражение

O4 – HKCU\..\Run: [SaveDefense] C:\Program Files\SaveDefense Software\SaveDefense\SaveDefense.exe -min
O23 – Service: SaveDefense Security Service (SaveDefenseSvc) – Unknown owner – C:\Program Files\SaveDefense Software\SaveDefense\SaveDefenseSvc.exe

----------


## valho

*BlockDefense*

При установке накачал из инета более 700 файлов-пустышек в systemroot и сообщил что это вирусы и нужно срочно исправлять

   

virustotal.com

----------

