Downloader.FraudLoad.Win32

Downloader.FraudLoad.Win32 - семейство программ предназначенных для скрытной установки в систему вредоносного ПО.  Эти программы применяются для загрузки вирусов, троянских и шпионских программ на компьютер-жертву.

Методы распространения

Во многих  случаях данные программы замаскированы под антивирус или Firewall и рраспространяются через Web-сайты специально созданные для их распространения.  Например – поддельный сайт антивирусной компании, где бесплатно предлагается скачать и попробовать новую версию антивирусного ПО.

Функциональные возможности 

После запуска троянская программа  копирует свое тело в каталог %TEMP% под случайным именем.  Для автоматического запуска при каждом старте системы,  добавляет ссылку на свой  файл в ключ автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Программа запрещает отображение скрытых файлов и показ расширений для зарегестрированных типов изменяя следующие ключи реестра:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000002
"HideFileExt"=dword:00000001
"ShowSuperHidden"=dword:00000000 

Отключает диспетчер задач изменяя значение в ключе реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr" = "1"

 Выгружает из системной памяти процессы прикладных приложений.

Деструктивные возможности

После запуска на компьютере эмулирует работу антивирусной программы – находит множество вирусов и предлагает их вылечить. Если пользователь соглашается  - программа скачивает из сети Internet вредоносное ПО,  сохраняет его на компьютере и запускает на выполнение. Таким образом, на  компьютере оказывается  множество различных вирусов, троянских программ и другого вредоносного ПО.