Downloader.FraudLoad.Win32

Downloader.FraudLoad.Win32 - сімейство програм призначених для скритої установки в систему шкідливого ПЗ. Ці програми застосовуються для завантаження вірусів, троянських і шпигунських програм на комп'ютер-жертву.

Методи поширення 

У багатьох випадках дані програми замасковані під антивірус або Firewall і поширюються через Web-сайти спеціально створені для їх розповсюдження. Наприклад - підроблений сайт антивірусної компанії, де безкоштовно пропонується викачати і спробувати нову версію антивірусного ПЗ.

Функціональні можливості

Після запуску троянська програма копіює своє тіло в каталог %TEMP% під випадковим ім'ям. Для автоматичного запуску при кожному старті системи, додає посилання на свій файл в ключ автозапуску системного реєстру:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]

Програма забороняє відображення прихованих файлів і показ розширень для зареєстрованих типів, змінюючи наступні ключі реєстру:

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced] 
"Hidden" = dword: 00000002
"HideFileExt" = dword: 00000001
"ShowSuperHidden" = dword: 00000000 

Відключає диспетчер задач змінюючи значення в ключі реєстру:

[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System] "DisableTaskMgr" = "1"

Вивантажує з системної пам'яті процеси прикладних програм.

Деструктивні можливості

Після запуску на комп'ютері емулює роботу антивірусної програми - знаходить безліч вірусів і пропонує їх вилікувати. Якщо користувач погоджується - програма завантажує з мережі Internet шкідливе ПЗ, зберігає його на комп'ютері і запускає на виконання. Таким чином, на комп'ютері виявляється безліч різних вірусів, троянських програм та іншого шкідливого ПЗ.