Security Lab

Hoax.HTML. FakeAntivirus.y

Hoax.HTML. FakeAntivirus.y

Программа-шутка, имитирующая работу антивирусного приложения. Представляет собой HTML документ, который содержит в себе сценарии Java Script.

Программа-шутка, имитирующая работу антивирусного приложения. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 186181 байт.


name="doc3">

Деструктивная активность

После открытия в браузере зараженной страницы, троянец, используя дополнительные сценарии Java Script, выполняет расшифровку и запуск вредоносного функционала на выполнение. Сразу после загрузки троянец выводит в браузере пользователя следующее сообщение:

Затем вредонос отображает в браузере фиктивный антивирусный файловый сканнер.

Данный сканер в произвольном порядке сопоставляет строки, которые хранятся в теле троянца, в следующем порядке:

  • Имя вредоноса выбирается из следующего массива строк:
    Adware.Win32.Winad
    W32.Yaha.B@mm
    Magic DVD Ripper
    Trojan-PSW.Win32.LdPinch.abm
    Trojan virtumonde
    Trojan.Fakealert.355
    Trojan.Qoologic - Key Logger
    Adware.Win32.Look2me.ab
    Trojan Horse IRC/Backdoor.SdBot4.FRV
    Win32/Hoax.Renos.HX
  • Тип вредоноса – Virus.
  • Уровень угрозы – Medium, High, Critical.
  • Имена зараженных файлов выбираются из следующего массива строк:
    MSFDC.INF
    MSFS.CNT
    MSFS.HLP
    MSFS32.DLL
    MSFVW32.DLL
    MSG711.ACM
    MSGM32.ACM
    MSGSRV32.EXE
    MSHDC.INF
    MSHEARTS.CNT
    MSHEARTS.EXE
    MSHEARTS.HLP
    MSJSTICK.DRV
    MSMAIL.INF
    MSMIXMGR.DLL
    MSMOUSE.INF
    MSMOUSE.VXD
    MSMPU401.DRV
    MSMPU401.VXD
    MSN.CNT
    MSN.HLP
    MSN.MSN
    MSN.TXT
    MSNBBS.HLP
    MSNCHAT.HLP
    MSNDUI.DLL
    MSNET.DRV
    MSNET32.DLL
    MSNEXCH.EXE
    MSNFIND.EXE
    MSNFULL.HLP
    MSNINT.HLP
    MSNMAIL.HLP
    MSNP32.DLL
    MSNPSS.CNT
    MSNPSS.HLP
    MSNVER.TXT
    MSODISUP.VXD
    MSOPL.DRV
    MSOPL.VXD
    MSPAINT.CNT
    MSPAINT.EXE
    MSPAINT.HLP
    MSPCIC.DLL
    MSPORTS.INF
    MSPP32.DLL
    MSPST32.DLL
    MSPWL32.DLL
    MSRLE32.DLL
    MSSBLST.DRV
    MSSBLST.VXD
    MSSHRUI.DLL
    MSSNDSYS.DRV
    MSSNDSYS.VXD
    MSSOUND.WAV
    MSSP.VXD
    MSTCP.DLL
    MSUCIARE.WAV
    MSVCRT20.DLL
    MSVID32.DLL
    MSVIDEO.DLL
    MSVIEWUT.DLL
    MSWD6_32.WPC
    MT_T1101.SPD
    MTD.INF
    MTLITE.DRV
    MTMMINIP.MPD
    MULTILNG.INF
    MV1401.DRV
    MV1514MX.DRV
    MVCL14N.DLL
    MVIFM.DRV
    MVIFM.PAT
    MVIWAVE.DRV
    MVMIXER.DRV
    MVPAS.VXD
    MVPR14N.DLL
    MVPROAUD.DRV
    MVTTL14C..DLL
    MVUT14N.DLL
    N15210.DOS
    N18510.DOS
    N2090522.SPD
    N2290520.SPD
    N890_470.SPD
    N890X505.SPD
    NAL.DLL
    NBSTAT.EXE
    NCC16.DOS
    NDDEAPI.DLL
    NDDENB.DLL
    NDIS.VXD
    NDIS2SUP.VXD
    NDIS30.DLL
    NDIS39XR.DOS
    NDIS89XR.DOS
    NDISHLP.SYS
    NE1000.DOS
    NE1000.SYS
    NE2000.DOS
    NE2000.SYS
    NE3200.BIN
    NE3200.DOS
    NE3200.SYS
    NEC24PIN.DRV
    NECATAPI.VXD
    NET.EXE
    NET.INF
    NET.MSG
    NET3COM.INF
    NETAMD.INF
    NETAPI.DLL
    NETAPI32.DLL
    NETAUXT.INF
    NETBEUI.VXD
    NETBIOS.DLL
    NETBW.INF
    NETCABLE.INF
    NETCD.INF
    NETCDA.INF
    NETCEM.INF
    NETCLI.INF
    NETCLI.INF
    NETCPL.CPL
    NETCPQ.INF
    NETDDE.EXE
    NETDEC.INF
    NETDEF.INF
    NETDET.INI
    NETDI.DLL
    NETEE16.INF
    NETEVX.INF
    NETFLEX.INF
    NETFLX.BIN
    NETFLX.DOS
    NETFLX.SYS
    NETGEN.INF
    NETH.MSG
    NETHP.INF
    NETIBM.INF
    NETIBMCC.INF
    NETMADGE.INF
    NETMON.386
    NETMON.INF
    NETNCR.INF
    NETNICE.INF
    NETNOVEL.INF
    NETOLI.INF
    NETOS.INF
    NETOSI.INF
    NETPPP.INF
    NETPROT.INF
    NETRACAL.INF
    NETSERVR.INF
    NETSETUP.ADM
    NETSETUP.DLL
    NETSETUP.EXE
    NETSETUP.INF
    NETSETUP.LAY
    NETSILC.INF
    NETSMC.INF
    NETSMC32.INF
    NETSMCTR.INF
    NETSNIP.INF
    NETSOCK.INF
    NETSTAT.EXE
    NETSUSSRC.INF
    NETTCC..INF
    NETTDKP.INF
    NETTRANS.INF
    NETTULIP.INF
    NETUB.INF
    NetWare.MS
    NETWATCH.CNT
    NETWATCH.EXE
    NETWATCH.HLP
    NETWORK.HLP
    NETWORK.TXT
    NETXIR.INF
    NETZNOTE.INF
    NICE.VXD
    NLSFUNC.EXE
    NM95SETP.DLL
    NMAGENT.EXE
    NMAGENT.INF
    NMSUPP4.386
    NMTHUNK.DLL
    NO_1.CUR
    NO_2.CUR
    NO_3.CUR
    NO_4.CUR
    NO_5.CUR
    NO_L.CUR
    NO_M.CUR
    NODRIVER.INF
    NOTEPAD.CNT
    NOTEPAD.EXE
    NOTEPAD.HLP
    NSCL.VXD
    NTDLL.DLL
    NW16.DLL
    NWAB32.DLL
    NWLINK.VXD
    NWLSCON.EXE
    NWLSPROC.EXE
    NWNBLINK.VXD
    NWNET32.DLL
    NWNP32.DLL
    NWPP32.DLL
    NWREDIR.VXD
    NWRPLTRM.COM
    NWSERVER.VXD
    NWSP.VXD
    OAK.VXD
    OCTK16.SYS
    OCTK32.VXD
    ODIHLP.EXE
    OK124.DRV
    OK1830US.SPD
    OK1840US.SPD
    OK1850US.SPD
    OK19.DRV
    OK19IBM.DRV
    OKOL8701.SPD
    OL830525.SPD
    OL840518.SPD
    OL850525.SPD
    OLE2.DLL
    OLE2.INF
    OLE2CONV.DLL
    OLE2DISP.DLL
    OLE2NLS.DLL
    OLE32.DLL
    OLEAUT32.DLL
    OLECLI.DLL
    OLECLI32.DLL
    OLECNV32.DLL
    OLEDLG.DLL
    OLESRV.DLL
    OLESRV32.DLL
    OLETHK32.DLL
    OLIDM24.DRV
    OLIDM9.DRV
    OLITOK.DOS
    OLITOK16.DOS
    ONLSTMT.EXE
    ONLSTMT.HLP
    P351SX2.DRV
    P4455514.SPD
    PA3DMXD.DRV
    PACKAGER.EXE
    PACKAGER.CNT
    PACKAGER.HLP
    PAGESWAP.VXD
    PAINTJET.DRV
    PANMAP.DLL
    PANSON24.DRV
    PANSON9.DRV
    PAP54001.SPD
    PAP54101.SPD
    PARALINK.VXD
    PARITY.VXD
    PASSPORT.MID
    PASSWORD.CPL
    PBRUSH.EXE
    PC2X.MPD
    PCCARD.VXD
    PCI.VXD
    PCMCIA.INF
    PCNTN3.VXD
    PCNTND.DOS
    PCSA.EXE
    PE2NDIS.DOS
    PE3NDIS.EXE
    PE3NDIS.VXD
    PEN_1.CUR
    PEN_2.CUR
    PEN_3.CUR
    PEN_4.CUR
    PEN_5.CUR
    PEN_L.CUR
    PEN_M.CUR
    PENDIS.DOS
    PERF.VXD
    PHIIPX.SPD
    PHONE.PBK
    PIANO.ANI
    PIFCONV.EXE
    PIFMGR.DLL
    PING.EXE
    PJLMON.DLL
    PKPD.DLL
    PKPD32.DLL
    PMSPL.DLL
    POINTER.DLL
    POINTER.EXE
    POLEDIT.CNT
    POLEDIT.EXE
    POLEDIT.HLP
    POLEDIT.INF
    POWER.DRV
    POWERCFG.DLL
    POWRPNT.PPT
    PPM.VXD
    PPPMAC.VXD
    PRECOPY.INF
    PRESENTA.SHW
    PRINT.EXE
    PRINTER.TXT
    PRO4.DOS
    PRO4AT.DOS
    PRODINV.DLL
    PROGMAN.CNT
    PROGMAN.EXE
    PROGMAN.HLP
    PROPRINT.DRV
    PROPRN24.DRV
    PRORAPM.DWN
    PROTEON.VXD
    PROTMAN.DOS
    PROTMAN.EXE
    PRTUPD.INF
    PS1.DRV
    PS4079.ICM
    PSCRIPT.DRV
    PSCRIPT.HLP
    PSCRIPT.INI
    PSMON.DLL
    PSTRIPE.BMP
    PYRAMID2.BMP
    Q1C117.VXD
    QBASIC.EXE
    QBASIC.HLP
    QCS1000.SPD
    QCS10503.SPD
    QCS30503.SPD
    QM1700_1.SPD
    QM200C_1.SPD
    QM823MR1.SPD
    QMPS4101.SPD
    QMS10030.ICM
    QMS1725.SPD
    QMS3225.SPD
    QMS420.SPD
    QMS45252.SPD
    QMS860.SPD
    QMS8P461.SPD
    QMSCS210.SPD
    QMSCS230.SPD
    QUATTRO.WB2
    QUICKVIEW.EXE
    QUIETJET.DRV
    QWIII.DRV
    QWMMFIX.VXD
    RAINBOW.ANI
    RAMDRIVE.SYS
    RASAPI16.DLL
    RASAPI32.DLL
    RCV0000.EFX
    README.TXT
    REBOOT.VXD
    REDBRICK.BMP
    REDIR32.EXE
    REDIRECT.MOD
    REDTILE.BMP
    REGEDIT.CNT
    REGEDIT.EXE
    REGEDIT.HLP
    REGSERV.EXE
    REGSRV.INF
    REGWIZ.EXE
    RESTORE.EXE
    RICHED.DLL
    RICHED32.DLL
    RINGIN.WAV
    RINGOUT.WAV
    RIVETS.BMP
    RIVETS2.BMP
    RMM.PDR
    RNA.INF
    RNAAPP.EXE
    RNAL.DLL
    RNANP.DLL
    RNAPLUS.INF
    RNASERV.DLL
    RNASETUP.DLL
    RNATHUNK.DLL
    RNAUI.DLL
    RNDSRV32.DLL
    ROMAN.FON
    ROUTE.EXE
    RPCLTC1.DLL
    RPCTLC3.DLL
    RPCTLC5.DLL
    RPCTLC6.DLL
    RPCTLS3.DLL
    RPCTLS5.DLL
    RPCTLS6.DLL
    RPCNS4.DLL
    RPCPP.DLL
    RPCRT4.DLL
    RPCSS.EXE
    RPLBOOT.SYS
    RPLIMAGE.DLL
    RPLIMAGE.EXE
    RSRC16.DLL
    RSRC32.DLL
    RSRCMTR.EXE
    RSRCMTR.INF
    RUMOR.EXE
    RUNDLL.EXE
    RUNDLL32.EXE
    RUNONCE.EXE
    S3.DRV
    S3.VXD
    SACLIENT.DLL
    SAMPLE VIDEOS
    SAND.BMP
    SAPNSP.DLL
    SAVE32.COM
    SB16.VXD
    SB16SND.DRV
    SBAWE.VXD
    SBAWE32.DRV
    SBFM.DRV
    SCANDISK.BAT
    SCANDISK.EXE
    SCANDISK.EXE
    SCANDISK.INI
    SCANDISK.PIF
    SCANPROG.EXE
    SCANPST.EXE
    SCAPST.HLP
    SCCVIEW.DLL
    SCRNSAVE.SCR
    SCSI.INF
    SCSI1HLP.VXD
    SCSIPORT.PDR
    SECUR32.DLL
    SECURCL.DLL
    SEIKO24E.DRV
    SEIKOSM9.DRV
    SELECT.EXE
    SERENUM.VXD
    SERIAL.VXD
    SERIALUI.DLL
    SERIFE.FON
    SERIFF.FON
    SERMDIR.EXE
    SERVER.HLP
    SETUP.BIN
    SETUP.BMP
    SETUP.EXE
    SETUP.INF
    SETUP.TXT
    SETUP4.DLL
    SETUPPP.INF
    SETUPX.DLL
    SETUPX.DLL
    SETVER.EXE
    SF4029.EXE
    SHARE.EXE
    SHELL.DLL
    SHELL.INF
    SHELL.NEW
    SHELL.VXD
    SHELL2.INF
    SHELL3.INF
    SHELL32.DLL
    SHSCRAP.DLL
    SIGNUP.EXE
    SIZENESW.ANI
    SIZENS.ANI
    SIZENWSE.ANI
    SIZEWE.ANI
    SKPSFA_1.SPD
    SLAN.DOS
    SLCD.MPD
    SLENH.DLL
    SMALLE.FON
    SMALLF.FON
    SMARTDRV.EXE
    SMARTND.DOS
    SMC_ARC.DOS
    SMC3000.DOS
    SMC8000.DOS
    SMC8000W.VXD
    SMC80PC.VXD
    SMC8100.DOS
    SMC8100W.VXD
    SMC8232.DOS
    SMC8232W.VXD
    SMC9000.DOS
    SMC9000.VXD
    SNAPSHOT.EXE
    SNAPSHOT.VXD
    SNDREC32.EXE
    SNDVOL32.CNT
    SNDVOL32.EXE
    SNDVOL32.HLP
    SNIP.VXD
    SNMP.EXE
    При выборе любого элемента навигации на зараженной HTML странице, а также после нажатия на кнопку "Start Protection" – вредонос открывает в скрытом фрейме ресурс, который располагается по ссылке:
    http://<доменное_имя_сервера_злоумышленника>/download.php
    При закрытии зараженной страницы троянец отображает сообщение:

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!