Gina Lisa Facebook scam

Yet another Facebook scam, this time luring users with a sextape from Gina Lisa, whom is apparently a German model:

Yet another Facebook scam: "Gina Lisa Sextape"

When you click on the link you get:

Verify your age first

When you click on the video to "verify your age" you are redirected to what appears to be a site for gambling, pokergames, etc....:

Subscribe and get a free bonus. Looks legit

I suspect you'll probably have to pay up sooner or later to continue playing. Stargames.com is apparently known for spamming blogs & other sites.

hXXp://hot-movie.pw - URLvoid Report

hXXp://stargames.com - URLvoid Report

This scam and/or spam will also post on Facebook on your behalf. Go over your Privacy Settings on Facebook and make sure you delete this "app" if you see it. Remove any posts you have made as well and report posts similar as this made by your friend(s).

Prevention

Pretty straightforward: do not click on any of these links, how tempting they might be ! Ask your friend if he or she knows what it means, and slightly hover over the post until the 'X' becomes visible. You can then mark the post as spam, and it will be removed from your friend's wall.

It might also help to install the WOT extension into your browser. (Compatible with most modern browsers)

WOT is a community-based tool and is therefore very useful for these kinds of scams, whereas other users can warn you about the validity.

More information and to download WOT: http://www.mywot.com/

Conclusion

To keep it short and simple:

don't fall for these types of spam/scam, most of the times it's pretty obvious it's fake.

Basics for a malware analysis lab

For Security.nl, a Dutch infosec website, I wrote a short article on the basics of a malware analysis lab. The article is in Dutch, but here's a translated version by Google Translate (on Pastebin):
http://pastebin.com/kE5gQWhx

Note: for the links for tools & better mark-up, visit the post below on Security.nl or the mirror here. I might translate it myself in English later as well. (no translator ;-) )

Here's the post on Security.nl:
Security Tip van de Week: onderzoek malware in je eigen lab

Here's the original post:

Over het environment, de computer, zelf

Even een quote uit een artikel van mij:

Before we begin, I’d like to make clear that if you want to test your skills after reading this article or want to test malware in general, you should set up a proper testing environment. Make sure you are using a Virtual Machine if testing on your own machine, or create a machine for the sole use of testing malware and antimalware tools. In either case, it’s a good idea to use a separate network or use a DMZ should you have one. Personally I recommend having the machine connected to the internet, so the malware can do its evil work to its maximum potential and you will be able to carefully study and dissect its workings completely.

Denk wel dat bovenstaande duidelijk is:
- gebruik geen shared folders tussen VM & host
- gebruik bij voorkeur een apart netwerk
- gebruik bij voorkeur een fysiek toestel en geen VM
- gebruik antivirus op je fysiek toestel als je een VM gebruikt

Malware gaat vaak checken op bepaalde characteristics in het systeem, zoals hardware GUIDs, eigenschappen van de Netwerkkaart, nakijken of X of Y tools geïnstalleerd staan, controleren op X of Y services.... Vandaar dat een echt fysiek toestel soms betere of zelfs compleet andere resultaten (behaviour) kan geven dan in een VM. Indien een fysiek toestel niet mogelijk is, kan je inderdaad kiezen voor virtualisatiesoftware:
VirtualBox (Oracle/Sun) of VMware Workstation/VMWare Player. Beiden zijn makkelijk in gebruik.

VirtualBox: gratis, kan snapshots nemen
VMWare WS: niet gratis, kan snapshots nemen
VMWare Player: gratis, kan geen snapshots nemen

Een handig tooltje om na te gaan hoe malware je systeem op bepaalde parameters checkt is Pafish: https://github.com/a0rtega/pafish

Ik raad aan om, als je VM gebruikt, een snapshot te nemen in:
a) een "clean" state
b) een state waarop je tools en dergelijke staan
--> Hierna voer je X of Y malware uit

Voor de disk zelf kan je best split virtual disk gebruiken, aangezien deze minder schijfruimte gaat innemen (dynamisch), single file wordt meer gebruikt voor oudere toestellen. Qua performantie maakt dit niet veel verschil, voor malware analysis al zeker niet.

Voor de netwerkconnectie wordt meestal bridged gebruikt, aangezien NAT soms problemen kan geven bij bepaalde netwerkkaarten. Voor malware analysis zelf lijkt dit me op zich niet veel uit te maken.

Nog een handige link met extra uitleg: http://zeltser.com/vmware-malware-analysis/

Over het OS dat je kan gebruiken
Buiten uiteraard een Windows OS (bv. een Windows XP en een Windows 7, 2 verschillende OS'en kunnen soms 2 verschillende resultaten opleveren) kan je ook een *nix distri gebruiken welke speciaal voor Malware Analysts is ontworpen. Hier heb je keuze:

• Malnet2 - deze wordt niet meer developed, heb deze ergens in 2010 op HITB leren kennen en maar af en toe gebruikt. Enkel de slides zijn nog nuttig voor referentie.
  Info: http://conference.hitb.org/hitbsecconf2 ... %20Lab.pdf Advanced Malware Analysis Lab.pdf(slides) & http://pastebin.com/puhpzCvf
• Remnux - deze gebruik ik tegenwoordig, de ideale toolbox, een must have dus!
  Info: http://zeltser.com/remnux/ & Malware Analysis Essentials - Remnux (video)
• Je eigen distri - Niets houd je tegen om immers zelf een eigen environment op te zetten met tools die jij wil - echter, waarom zou je het wiel heruitvinden?

Tools voor Windows
Idealiter verloopt een analyse van wat X of Y malware doet als volgt:
a) Zet beide VM's op, zowel Windows box als Remnux
b) Prepareer de tools of logging op beide toestellen
c) Bezoek X link of voer Y malware uit
d) Bekijk het behaviour van de malware
e) Sla de logs op en bekijk deze ook nog eens apart, in-depth

Nu wat betreft de tools zelf. Uiteraard zijn er verschillende logging tools beschikbaar, maar we gaan beginnen met enkele automatisch systemen:
Malwr - https://malwr.com/
ThreatExpert - http://www.threatexpert.com/
Anubis - http://anubis.iseclab.org/
--> Deze 3 bovenste zijn in feite online sandboxes, waar je malware naar kan uploaden en hierna een (al dan niet) uitgebreid rapport kan bekijken. Dit kan handig zijn moest een sample weigeren te runnen op jouw systeem, of je hebt geen tijd om zelf uitgebreid onderzoek te doen. Uiteraard zijn er nog andere sandboxes online, maar deze zijn wel de bekendste. (vooral Malwr is een aanrader)

Sandboxie - http://www.sandboxie.com/
--> Indien je geen VM hebt of geen kunt gebruiken maar toch min of meer malware analysis gaan uitvoeren, kan je Sandboxie gebruiken. Deze gaat in feite programma's (of in dit geval malware), op een "apart stukje" van je harde schijf uitvoeren. Ik vermoed echter dat iedereen hiermee bekend is. Note: voer nooit een VM uit in een sandbox!

Malzilla - http://malzilla.sourceforge.net/
--> Malzilla is een excellente tool voor als je geen VM hebt (anders natuurlijk ook). Malzilla kan eigenlijk heel wat, zoals bv. Javascript decoden, lijst van links op een site weergeven, maar het voornaamste is eigenlijk dat je een URL kan bezoeken en kan bekijken wat er allemaal gebeurt (bv. een redirect naar X site, een redirect naar Google, helemaal niets,...). Handig is ook dat je al dan niet een referrer kan instellen. Bepaalde malware gaat controleren of je via X of Y referral gaat en zoniet, redirect gewoon naar Google. Het kan ook gebeuren dat hetzelfde IP slechts 1x dezelfde malware site mag/kan bezoeken. In Malzilla kan je dan een proxy instellen...

URLQuery - http://urlquery.net/
JSunpack - http://jsunpack.jeek.org/
--> Beide zijn tools om malware sites te analyseren, indien je moeilijkheden hebt met Malzilla of, wegens tijdsgebrek snel iets moet checken. URLquery is meer intuïtitef. Beide tools zijn echter onmisbaar.

Last, but not least:
VirusTotal - https://www.virustotal.com/
--> Schitterende service om snel een sample te checken. Houd in het achterhoofd dat detecties kunnen verschillen via VirusTotal of op een echt systeem (bv. behaviour analysis wordt niet mee opgenomen in de scanners op VirusTotal). Eveneens kan je bij File Detail makkelijk de mèta-data checken. Afhankelijk van het type bestand (PE files, Android files, others) worden extra scanners uitgevoerd. (.exe, .com, .apk, .jar, .pdf)


Nu, manuele systemen en tools. Je kan al een schat aan tools op onderstaande link vinden:
http://zeltser.com/malware-analysis-toolkit/

Mijn persoonlijke favorieten:
Fiddler - http://fiddler2.com/ - bekijken wat X of Y URL precies probeert te laden, handig voor de infection vector en methodiek te bepalen
RegShot - http://sourceforge.net/projects/regshot/ - neem een "snapshot" van het huidige systeem en vergelijk daarna welke wijzigingen malware heeft doorgevoerd
Revelo - http://www.kahusecurity.com/tools/ - meer een all-in-one tool, vergelijkbaar met Malzilla, maar anders

Uiteraard kan je ook Wireshark gebruiken maar:
a) Dit is redundant als je ook Remnux gebruikt.
b) Ik heb effectief al malware tegengekomen die gewoon weigert iets te doen als Wireshark op het toestel staat.

Andere "monitoring" tools on-the-fly zijn bijvoorbeeld:
WinPatrol - http://www.winpatrol.com/
Process Guard - http://download.cnet.com/ProcessGuard/3 ... 33974.html

Algemene tips & trucs

• Nog enkele leuke slides voor de eerste keer dat je malware analysis gaat performen, inclusief de sample
  http://zeltser.com/reverse-malware/intr ... 201208.pdf
• Gebruik tools zoals Process Explorer om na te kijken wat de malware gaat doen. Bv. wordt CMD geladen voor een bepaald commando uit te voeren? Wordt er in explorer.exe geïnjecteerd? Spawnt deze child-process? Gaat deze aan click-fraude doen? Welke strings worden er precies ingeladen? Wat is de malware naam exact? Hoe bereikt deze persistentie op het systeem? Is deze malware signed (digitaal certificaat)?
• Heb je malware uitgevoerd maar lijkt er niet meteen iets te gebeuren? Check met Process Explorer of je een proces ziet. Ja? Oké, ga verder met analyse. Nee? Wacht 5 minuten en kijk of er iets verandert. Nog steeds niet? Herstart het systeem. Mogelijk moet je de systeemtijd zelfs enkele dagen verder zetten.
• Mogelijk kan de malware ook packed zijn, dit is ofwel voor compressie ofwel voor antivirus-detectie te omzeilen. Meer uitleg over packers vind je op: http://www.virusbtn.com/resources/glossary/packer.xml
  Er zijn verschillende packers, de bekendste is wel UPX. Eveneens zijn er nog een pak andere packers en zelfs custom packers gemaakt door - de malware author zelf. Bestand kan je unpacken in een disassembler (bv. IDA Pro- https://www.hex-rays.com/products/ida/index.shtml, OllyDBG- http://www.ollydbg.de/,...). Kijken of er een packer aanwezig is kan je met VirusTotal, of met tools zoals PEiD - http://www.aldeid.com/wiki/PEiD of LordPE - http://www.woodmann.com/collaborative/t ... php/LordPE .
• Tools voor analyse van PDF kan je zowel online vinden, bv. MalwareTracker - http://www.malwaretracker.com/pdf.php, VirusTotal (zie ook hierboven), of kan je zelf doen met bv. PDFiD of PDF-Parser - http://blog.didierstevens.com/programs/pdf-tools/ .
  Tools voor analyse van JAR zijn schaarser, bv. ShowMyCode - http://www.showmycode.com/ of je bekijkt deze zelf met JD-GUI - http://java.decompiler.free.fr/
• Werkt een bepaalde malware site niet? Dubbelcheck eens met URLquery of http://isup.me om te kijken of die wel online is. Deze is ofwel
  a) Effectief offline (offline gehaald)
  b) Je IP is gebanned (op land)
  c) Je hebt geen correcte referrer gebruikt
  d) Nog niet actief
  e) Iets in je netwerk blokkeert de link, bijvoorbeeld MBAM, of een URL/Malware filter ingebakken in je router of andere appliance

Slot
Een heel pak informatie, naar ik hoop voldoende uitgelegd en voorzien van informatie. Verdere vragen mag je natuurlijk altijd stellen, maar zoek eerst zelf even op of je er iets over terugvind. Belangrijk is altijd dat je vragen blijft stellen, niet alleen over deze post, maar ook als je eenmaal aan analysis zelf begint. Waarom zou deze malware X of Y actie uitvoeren? Waarom dit niet en dit wel? Waarom op deze manier? Wat is het nut van deze string of naamgeving van malwarefile/folder? Stay curious!

WellsFargo spam serving infostealing malware

Not that new, but still noteworthy the spammers seem to be abusing WelssFargo (an American bank) as trusted sender. This is simple mail spoofing.

Mail from "Georgina Franks"

Some example senders (where it seems to come from):
Evelyn_Piper@wellsfargo.com
Georgina_Franks@wellsfargo.com
Noe_Zavala@wellsfargo.com

As far as I could find, these email addresses do not even exist.

The mail itself is actually coming from the Pushdo botnet. Example IPs:

173.167.205.149 - IPVoid Result
209.181.66.178 - IPVoid Result

All the links in the mail are legit, this to convince you that the attachment will be legit as well. When opening the ZIP file (which is named WellsFargo.yourmailprefix) , you're presented with a what-looks-like a PDF file, but is in fact an EXE file:

MD5: 47e739106c24fbf52ed3b8fd01dc3668
VirusTotal Report
Anubis Report
Malwr Report


This malware is known as Fareit (or Tepfer). According to Microsoft:

 Win32/Fareit is a multiple component malware family that consists of a password stealing component, PWS:Win32/Fareit, that steals sensitive information from the affected user's computer and sends it to a remote attacker, and a Distributed Denial of Service (DDoS) component, DDoS:Win32/Fareit.gen!A, that may be commanded to perform flooding attacks against other servers.

When executing the file it looks for quite a lot of data to steal, as well to phone home to update its configuration files and download additional malware (Zeus).Below you can find an image on the data (information) it tries to steal:

List of programs it tries to extract username/password from

So besides all this, it additionally downloads Zeus (the payload), which tries to steal banking credentials and others... If you'd think Fareit is enough, guess again! There's a good image made by the FBI how the Zeus 'scheme' or malware works:

Cyber Theft Ring details

The downloaded Zeus files are all having a very low detection rate on VirusTotal. Hint:
check out the VirusTotal report from the sample above and click on the tab "Behavioural Information". Note the links are live!



Conclusion

• Don't open any attachment(s) of unknown senders. In fact, don't even open mail from unknown senders.
• Don't be fooled by mail spoofing, you can view the real source by right-clicking your mail and choosing "View Source". (This depends on your mailclient though.)
• Don't be fooled by the fancy icons, they are actually EXE files. You can enable an option in Windows so you're always sure of the filetype being used:
  Enable Viewing of Filename Extensions for Known File Types
• Install an antivirus and antimalware product and keep it up-to-date & running.
• If you're in an organisation, you might want to block the following IPs (quite a long list):
  
  173.255.213.171
  5.199.171.133
  50.141.158.229
  62.149.131.162
  62.149.131.162
  69.115.119.227
  69.128.126.198
  76.226.112.216
  76.226.112.216
  78.140.131.151
  82.211.180.109
  89.122.155.200
  90.156.118.144
  95.241.244.184
  107.193.222.108
  107.211.213.205
  108.233.198.131
  108.240.232.212
  116.202.222.102
  142.136.161.103
  173.255.213.171
  188.217.207.224
  198.118.112.110
  211.209.241.213
  212.182.121.226
  108.254.22.166
  108.74.172.39
  112.78.142.66
  122.178.149.88
  173.194.67.105
  173.194.67.94
  173.201.59.32
  173.201.59.32
  173.254.68.134
  173.254.68.134
  178.40.101.100
  181.67.50.91
  182.68.130.230
  184.80.8.18
  187.153.52.160
  189.254.111.2
  190.153.51.122
  190.21.64.25
  199.30.90.80
  199.7.177.218
  2.180.24.120
  2.230.133.66
  200.180.176.65
  201.122.96.80
  201.245.14.237
  201.245.14.237
  207.204.5.170
  207.204.5.170
  216.227.73.207
  24.115.24.89
  24.120.165.58
  41.34.11.17
  65.131.15.62
  66.63.204.26
  68.162.220.34
  69.26.171.181
  69.77.132.197
  69.92.6.139
  71.43.167.82
  74.120.9.245
  74.125.24.105
  74.125.24.94
  74.240.17.144
  78.100.36.98
  78.152.96.70
  79.29.227.158
  79.52.113.31
  81.111.62.181
  83.172.126.39
  84.59.129.23
  84.59.138.75
  85.100.41.9
  87.29.153.193
  87.66.14.62
  87.66.14.62
  90.189.54.253
  91.236.245.22
  94.67.83.244
  94.67.83.244
  95.101.0.104
  95.249.114.32
  98.103.34.226
  98.67.162.178
  99.159.193.22
  99.36.163.147
  99.48.126.246
  99.5.234.38
  99.98.209.3

Note that these are IPs the malware communicates to. In most cases, they are harmful, but keep in mind some IPs might be legit, as the malware authors want to test for connectivity by connecting to Google for example. So, if you plan to block on IP, be sure to cross-check on IPvoid or DomainTools.

Stay safe.

Another Skype worm

Remember this post from not too long ago?
Worm spreading through Skype and Messenger

Well, seems this tactic is getting more popular...

A new Skype worm shows you the following message:

this is a very nice photo of you http://bit.ly/10UCanc?fotos=%username% :$
this is a very nice photo of you http://bit.ly/10UCanc?id=%username% :P

Other languages are possible as well, for example Russian:

это очень хорошая фотография вы http://bit.ly/10UCanc?fotos=%username%

When clicking on the link, it gets redirected to a filesharing site and downloads the following file:
facebook_profile.zip

Inside is an EXE file called:
profile-facebook_23052013_img.exe
MD5: 669441b1f5532bdc1a5371112dabc4c8
VirusTotal Result (15/46)
Anubis Result
Malwr Result

When executing the file, you start spreading this message as well to all your Skype friends. There is no icon for the EXE file, which should ring some bells... Actually, the "pictures" being a single EXE file should ring bells so hard the whole neighbourhood wakes up.


Filesharing sites used to spread the malware:
4shared.com
hotfile.com


These filesharing sites have already removed all the malicious files and cannot be downloaded anymore.

Malware files already removed, awesome!

Some interesting stats for the bit.ly link:

Current amount of clicks

Geographic distribution of clicks.

As you can see, there have been over 120,000 clicks today, that's quite a lot!  Also interesting to note is that most clicks are in Belarus, which may indicate where the malware's origin lies (or at least where the infection point started).

As far as I could see, the malware creates a file with a random name in the C:\Programdata or %appdata% folder, injects into explorer.exe and thus is able to 'protect' itself:

When deleting said malware file, it will immediately re-create.

The malware also tries to phone home to (currently offline):

hXXp://r.gigaionjumbie.biz/images/gx.php

hXXp://x.dailyradio.su/images/gx.php

hXXp://w.kei.su/images/gx.php

The above links are related with the Alureon malware, which can download other malware as well as steal your credentials and other personal information. Microsoft:
Win32/Alureon is a family of data-stealing trojans. These trojans allow an attacker to intercept incoming and outgoing Internet traffic in order to gather confidential information such as user names, passwords, and credit card data. It may also allow an attacker to transmit malicious data to the infected computer. The trojan may modify DNS settings on the host computer to enable the attacker to perform these tasks. Therefore it may be necessary to reconfigure DNS settings after the trojan is removed from the computer. Source.

There are also some peculiar strings in the malware:

lTaj13zzz5632jetsusjabs 

Regrey8hiaid958562ids  

Culmbusy4teg217jo548 

Sel35scagalawn9ser84996  

Hinog968begs6421879  

Cyme28ilkax65274sunn35  

Toph8toil2528248030  

Pent8cute812  

hoorney milk  

DESTRUCT COMMON 

Not sure what those strings are supposed to mean, if there's any meaning to it at all.
To view all strings pulled from the malware image, check Pastebin:
http://pastebin.com/Svb40p9Q



Desinfection

• Perform a full scan with your installed antivirus ànd a scan with another antivirus or antimalware product. You can check on VirusTotal which antivirus applications already detect this worm.
• Change your Skype password.
• Notify your friends that you had sent them a malware link.

Conclusion

This conclusion is pretty much the same as in my previous post about a Skype worm:


Worms spreading through Facebook, Twitter as well as IRC, MSN and Skype is nothing new. Still, it appears to be very successful as human curiosity wins in cases of doubt:
"Do I really have (embarassing) pictures of myself on this website? Better take a look!"

No, no, no!

Never click on unknown links, especially when a URL shortener service like bit.ly is used. (others are for example t.co, goog.gl, tinyurl, etc.)
Don't be fooled by known icons or "legit" file descriptions, this can easily be altered.

Even if you clicked the link and you're not suspicious, you should be when a file is downloaded and no pictures are shown, but just an EXE file.

For checking what is really behind a short URL, you can use:
http://getlinkinfo.com/
http://longurl.org/

For checking whether a file is malicious or not:
https://www.virustotal.com/

Scareware page pushing PC Speed Maximizer

Everybody should by now be aware how most scareware (aka rogueware aka fake antivirus) operates:
you receive a warning message your PC is infected with malware, and a scan needs to run immediately to help you remedy the infections.

The latest scareware is System Care Antivirus:

System Care Antivirus. (Source: BleepingComputer)

In the past, it was just that. Scareware pushes scareware. Scareware installs scareware. Not programs that can be considered as adware or Potentially Unwanted Program (PUP/PUA).



Thanks to a headsup from Maxstar on Twitter, I was able to see how scareware was pushing "PC Speed Maximizer", which can be considered as a PUP, but not as scareware.

PC Speed Maximizer, unlike "real" scareware does not have the following behaviour:

• Annoying pop-ups everywhere, all the time
• Blocking internet access
• Blocking other programs (like Task Manager for example)
• Showing numerous errors & malware infections (where there are none)
• No real uninstall option (because it's malware)
• Autostarts with the PC
• Wants to rip off users

PC Speed Maximizer however does have the following behaviour:

• Annoying pop-ups, but not constantly
• Showing numerous errors (where there are none)
• Autostarts with the PC
• Wants to rip off users

So let's get to the point here. What is the purpose of this post? To show you an apparently new tactic on how PC Speed Maximizer wants to gather money from not technically savvy users.

A new page has been set up at hxxp://pcspeedplus.com
URLVoid Result
PasteBin script


When visiting this page, you are presented with the following message:

"Critical Security Warning!" Oh really?

This pop-up or messagebox is typical for scareware, clicking the X or clicking OK has the same result...


A "scan" starts running right away:

"Virus infections have been detected!" - XP Micro Antivirus

The following file gets downloaded:
PCSpeedMaximizer.exe
MD5:  e557bf40e5b374b2fe65cfb2502f0a99
Result: 3/46
VirusTotal Result
Anubis Result
Malwr Result
ThreatExpert Result


This file is also digitally signed:

File is digitally signed with its own cert...

Thanks to a great post here, you can find the extracted digital certificate on Pastebin:
http://pastebin.com/50cUYHEc

Surely, this is not an "APT", but it's still interesting such a piece of crap is digitally signed.

PC Speed Maximizer Setup:

Setup screen

Items to clean and optimize on your PC

Obviously there aren't that many errors on my machine, interestingly enough, it's as good as fresh out of the box. To actually be able to fix the errors you have to pay up, what a surprise.

When looking around on Google a bit, it seems others are suffering from the same scareware page and the pushing of this... software:
http://answers.microsoft.com/en-us/protect/forum/protect_other-protect_scanning/url-httppcspeedpluscomscan-keeps-bringing-up-fake/30ed02a6-2bb0-4165-84ac-56a188cfb131

This user was apparently getting fake messages when clicking on a Yahoo ad, when I received this headsup, it apparently spreads through Google Images as well.



Prevention


- Be careful when visiting any webpage. A useful trick is to check the real URL behind the image. Most of the times you can verify this by checking in the left corner of your browser:

Clicked on a picture and started loading this website instead of the original one

- Use browser extentions to verify the integrity of an image or URL. Useful add-ons for Google Chrome are for example NotScripts and WOT . For Firefox you have NoScript and WOT as well.

- Keep your Antivirus and browser, as well as your browser add-ons up-to-date.

- If it is too late and a 'scan' is already starting, immediately close your browser by bringing up Task Manager (CTRL+ALT+DEL or CTRL+SHIFT+ESC) and killing your browser's process:

• a) For Google Chrome: chrome.exe or chrome.exe *32

• b) For Mozilla Firefox: firefox.exe or firefox.exe *32

• c) For Microsoft's Internet Explorer: iexplore or iexplore.exe *32

Desinfection

If the harm is already done and you are getting warnings, messages or pop-ups stating there are several errors and you need to take 'immediate action' to clean your computer, go to your
C:\Program Files\PC Speed Maximizer or C:\Program Files (x86)\PC Speed Maximizer folder and double-click on unins000.exe. The program will now uninstall itself. In that perspective, it is way less intrusive than real scareware.




Conclusion

• Don't be fooled by warnings or message trying to scare you, it's all fake.
• Follow the above prevention tips to decrease the chance of your computer becoming infected.

Final word: adware and/or PUP has always been annoying, and in a "grey" area for antivirus & antimalware applications to detect or not, since most of the times the EULA clearly states it's installing this software and you (as "the user") agree(s). However, pushing PUP via scareware is a new concept. I've made an earlier post about PUP and how you can prevent it as well:
http://bartblaze.blogspot.com/2013/01/about-youtube-top-comments.html

Stay safe.