CSIS har hen over de seneste dage modtaget massevis af henvendelser fra virksomheder og brugere som er ramt af et falsk antivirus program som kalder sig "Windows Ultimate Booster".
Den uønskede software frembringer talrige advarlser og gennemfører massevis af ændringer på systemet.
En inficeret maskine vil frembringe følgende fejlbeskeder:
1.
Error
System data security is at risk!
To prevent potential PC errors, run a full system scan.
2
Error
Trojan activity detected. System integrity at risk.
Full system scan is highly recommended.
3
Firewall has blocked a program from accessing the Internet
C:Program FilesInternet Exploreriexplore.exe
is suspected to have infected your PC.
This type of virus intercepts entered data and transmits them
to a remote server.
4
Warning! Identity theft attempt detected
Hidden connection IP: xx.xxx.xxx.xxx
Target: Microsoft Corporation keys
Your IP: 127.0.0.1
Formålet er at lokke ofret til at købe den licenserede version. Det er spild af penge og er benzin på bålet. Det bør man afstå fra.
Windows Ultimate Booster kopierer sig til følgende stier på systemet:
%APPDATA%svc-[RANDOM CHARACTERS]
%APPDATA% svc-mamk.exe
%APPDATA%data.sec
Disse skal slettes for at rense maskinen.
Den modificerer også registreringsdatabasen med flere runas værdier:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon "Shell" = "%AppData%svc-.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun "GuardSoftware" = %AppData%svc-.exe
[..]
Det uønskede og falske "antivirus" program forhindrer flere windows procceser i at starte op:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsk9filter.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsMpCmdRun.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsMpUXSrv.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsMSASCui.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsconfig.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsmpeng.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsseces.exe
[..]
For at fjerne denne infektion bør man følge denne vejledning:
http://www.bleepingcomputer.com/virus-removal/remove-windows-ultimate-booster
Hvordan blev jeg inficeret?
Infektionen skyldes typisk at brugeren lokkes til at åbne installationsprogrammet igennem en falsk popup på en webside eller ved at programmet udnytter sårbarheder på maskinen. I den forbindelse kan vi kun anbefale, at man installerer Heimdal (https://heimdalagent.com), der automatisk opdaterer alle de trejdepartsprodukter som denne type malware misbruger. Heimdal er gratis for private brugere og kan købes i en PRO og corporate udgave som også indeholder webfilter og malware detektion.
Vi har naturligvis allerede blokeret de domæner hvorfra denne falske sikkerhedspakke spredes, i CSIS Secure DNS.
Windows Ultimate Booster går også under andre navne som f.eks.:
Windows Efficiency Kit, Windows Safety Master, Windows Prime Accelerator, Windows Prime Shield, Windows Prime Booster, Windows Virtual Protector, Windows Accelerator Pro.
Den uønskede malware opnår kun begrænset AV detektion i følge Virustotal (3/50):
https://www.virustotal.com/da/file/a8b211b3f0b92731c3b8343b0b74fc3b2b4960e421a6fb47a991fb3f1a4d7f72/analysis/1390864409/
↧
CSIS Blog: Sværm af "Windows Ultimate Booster" infektioner i Danmark
↧