Devirusare Spyware Cease – Rogue promovat pe site-urile populare de Download

Spyware Cease este un soft nelegitim (rogue), fiind produsul celor de la CheeseSoft. Site-ul oficial al produsului este aici: http://www.cheesesoft.com/ (NU accesati acest site si NU descarcati nimic de pe el)

Pe de alta parte, acelasi produs, este promovat printr-un al doilea website folosind exact aceeasi denumire, acelasi logo si o interfata grafica asemanatoare. Site-ul programului rogue este spywarecease.com (NU accesati acest site si NU descarcati nimic de pe el)

Ceea ce este foarte interesant, este prezenta softului pe cateva site-uri populare de download:
http://download.cnet.com/Spyware-Cease/3000-8022_4-10907443.html si http://www.brothersoft.com/spyware-cease-185456.html.

De ce s-o afla acolo cand se stie ca este un program malitios?

spyware cease rogue



Programul, are doar functia de scanare si detectie, fara a oferi indepartarea virusilor gasiti in PC. Victimei i se cere achizitionarea produsului pentru a elimina asa-zisele amenintari.
Site-urile “oficiale” folosesc logo-ul McAfee SECURE, pretinzand ca au aprobarea si verificarea celebrului producator de softuri de securitate IT.

Programul Rogue creeaza urmatoarele fisiere\foldere:

  • C:\Program Files\Spyware Cease\SpywareCease.exe
  • C:\Program Files\Spyware Cease\md5.dll
  • C:\Program Files\Spyware Cease\mtools.dll
  • C:\Program Files\Spyware Cease\networkdll.dll
  • C:\Program Files\Spyware Cease\opfile.dll
  • C:\Program Files\Spyware Cease\QAreaDLL.dll
  • C:\Program Files\Spyware Cease\RkHitApi.dll
  • C:\Program Files\Spyware Cease\sctdll.dll
  • C:\Program Files\Spyware Cease\spkdll.dll
  • C:\Program Files\Spyware Cease\udefend.dll
  • C:\Program Files\Spyware Cease\ussafe.dll
  • C:\Program Files\Spyware Cease\zlib1.dll
  • C:\WINDOWS\system32\drivers\RKHit.sys
  • C:\Program Files\Spyware Cease\AutoUpdate.exe
  • C:\Program Files\Spyware Cease\bcfile.lst
  • C:\Program Files\Spyware Cease\bmgac
  • C:\Program Files\Spyware Cease\dxddd
  • C:\Program Files\Spyware Cease\fp.fpl
  • C:\Program Files\Spyware Cease\hrdb.hrl
  • C:\Program Files\Spyware Cease\idamx
  • C:\Program Files\Spyware Cease\iflee
  • C:\Program Files\Spyware Cease\SpywareCease.chm
  • C:\Program Files\Spyware Cease\SpywareCease.url
  • C:\Program Files\Spyware Cease\tmp5
  • C:\Program Files\Spyware Cease\twcfile.lst
  • C:\Program Files\Spyware Cease\unins000.dat
  • C:\Program Files\Spyware Cease\unins000.exe
  • C:\Program Files\Spyware Cease\update1
  • C:\Program Files\Spyware Cease\update2
  • C:\Program Files\Spyware Cease\update3
  • C:\Program Files\Spyware Cease\vf
  • C:\Program Files\Spyware Cease\wcfile.lst
  • C:\Program Files\Spyware Cease\xxcum
  • C:\Documents and Settings\All Users\Start Menu\Programs\Spyware Cease\Spyware Cease on the Web.lnk
  • C:\Documents and Settings\All Users\Start Menu\Programs\Spyware Cease\Spyware Cease.lnk
  • C:\Documents and Settings\All Users\Start Menu\Programs\Spyware Cease\Uninstall Spyware Cease.lnk
  • C:\Documents and Settings\username\Desktop\Spyware Cease.lnk
  • C:\Documents and Settings\username\Application Data\Microsoft\Internet Explorer\Quick Launch\Spyware Cease.lnk
  • C:\Program Files\Spyware Cease
  • C:\Program Files\Spyware Cease\update
  • C:\Documents and Settings\All Users\Start Menu\Programs\Spyware Cease

Sunt create si urmatoarele intrari registry:
HKEY_CURRENT_USER\SOFTWARE\Spyware Cease
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\spyware cease_is1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RkHit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\spywarecease.exe

Intrarea creata in log-ul HijackThis este:
O4 – HKLM\..\Run: [SpywareCease.exe] C:\Program Files\Spyware Cease\SpywareCease.exe

DEVIRUSARE:

Descarcati Malwarebytes Anti-Malware. Scanati PC-ul complet si stergeti la final infectiile gasite apasand Remove selected.


Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

Multumesc Daniel Novomeský (ESET) pentru informatiile suplimentare.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

7 responses to “Devirusare Spyware Cease – Rogue promovat pe site-urile populare de Download”

  1. Alin

    Pe http://www.cheesesoft.com/ se specifica faptul ca are multe premii la activ. Am cautat pe Softpedia si pe Cnet acele premii pretinse si nici nu exista.

    1. Gigi

      De obicei companiile care au primit premiile respective ofera si un link spre Softpedia sau CNET unde se certifica acel lucru.

  2. NP

    Cel de la cheesesoft e acelasi produs.
    E o generatie de rogue’uri mai destepte care nu detecteaza nimic gresit.
    Fie folosesc engine’ul de clamav, fie trimit fisierele pe server unde scaneza cu antivirusi legitimi.
    Am vazut un produs numit antispyware2011 cu EXACT acelasi GUI ca si spyware cease(doar logo’ul schimbat) si cu semnatura digitala de la aceeasi firma (qiwang computer)
    Trimitea md5’uri pe server si scana acolo cu mai multe av’uri.
    Singurul mod in care s-a dat de gol a fost ca-si detecta propriul installer, pentru ca era detectat de ESET.
    Si daca downloadezi de la cheesesoft produsul, in GUI scrie mare spywarecease.com

  3. radu000

    Emsisoft Anti-Malware blocheaza si cheesesoft.com – deci il considera nesigur.

  4. Alin

    Spyware Cease e rogue oriude s-ar afla.

    MalwareBytes il scoate si pe cel de pe site-ul asa zis oficial.

  5. tipo

    prevx-ul meu vad ca doarme…nu are nicio treaba…norocul meu cu WOT

  6. Shakalu

Leave a Reply