Subject: Conflicker.B Infection Alert
Message:
Dear Microsoft Customer,
Starting 18/10/2009 the ‘Conficker’ worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected.
To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.
Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.
Regards,
Microsoft Windows Agent #2 (Hollis)
Microsoft Windows Computer Safety Division
Message:
Dear Microsoft Customer,
Starting 18/10/2009 the ‘Conficker’ worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected.
To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.
Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.
Regards,
Microsoft Windows Agent #2 (Hollis)
Microsoft Windows Computer Safety Division
После скачивания и открытия архивированного файлы, вы увидите файл install.exe. Если вы запустите его, то произойдет взлом системы безопасности Internet Explorer, в результате Internet Explorer будет запускать файлы, которые небезопасны для компьютера. Также будет сгенерировано фальшивое системное сообщение, в котором будет информация о том, что было обнаружено вредоносное ПО. Вот текст такого предупреждения:
Your computer is infected! Windows has detected spyware infection! It is recomended to use special antispyware tools to pervent data loss.Windows will now download and install the most up-to-date antispyware for you. Click here to protect your computer from spyware!
Conflicker.B Spam Trojan загрузит и установит мошенническое антивирусное ПО - Antivirus Pro 2010, которое после сканирования компьютера выдаст результат: на компьютере большое число инфицированных файлов. Вы можете смело игнорировать любые сообщения от Antivirus Pro 2010, такая тактика нужна Antivirus Pro 2010 для того, чтобы убедить пользователей в том, что их компьютеры заражены и в необходимости купить лицензии.
Установочный install.exe троян имеет следующие названия у различных антивирусных вендоров:
McAfee - Generic FakeAlert.a
Avast - Win32:Trojan-gen
Microsoft - TrojanDownloader:Win32/FakeRean
AVG - Generic15.CWZ
Panda - Adware/AntivirusPro2010
BitDefender - Trojan.Downloader.FakeAV.DV
Sophos - Mal/EncPk-KP
DrWeb - Trojan.DownLoad.50246 2
Symantec - Trojan.FakeAV
F-Prot - W32/FakeRean.E
TrendMicro - TROJ_FAKEAV.BLV
Kaspersky - Packed.Win32.Krap.ah
Для того, чтобы удалить Conflicker.B Spam Trojan, Antivirus Pro 2010, воспользуйтесь бесплатной инструкцией по удалению.
Автоматическое удаление
Для автоматического удаления воспользуйтесь программами Malwarebytes' Anti-Malware или Spyware Doctor.
Как удалить Conflicker.B Spam Trojan вручную
Остановите процессы фальшивого Conflicker.B Spam Trojan:
seres.exe
svcst.exe
lizkavd.exe
svcst.exe
lizkavd.exe
Удалите ключи реестра Conflicker.B Spam Trojan:
HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusPro_2010
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\lizkavd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntivirusPro_2010
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "RunInvalidSignatures" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes" = "zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "SaveZoneInformation" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "ForceClassicControlPanel" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "CheckExeSignatures" = "no"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "mserv"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "svchost"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\lizkavd\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Antivirus Pro 2010"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\lizkavd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntivirusPro_2010
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "RunInvalidSignatures" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes" = "zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "SaveZoneInformation" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "ForceClassicControlPanel" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "CheckExeSignatures" = "no"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "mserv"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "svchost"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\lizkavd\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Antivirus Pro 2010"
Удалите файлы и директории Conflicker.B Spam Trojan:
%UserProfile%\Application Data\seres.exe
%UserProfile%\Application Data\svcst.exe
%UserProfile%\Application Data\lizkavd.exe
%UserProfile%\Application Data\svcst.exe
%UserProfile%\Application Data\lizkavd.exe