Bosszantásra termett az EZLife reklámprogram

1
Kristóf Csaba
2010. május 12., 08:51
Nyomtatás
Az EZLife nevű reklámprogram amellett, hogy bosszantó módon hirdetésekkel árasztja el a fertőzött számítógépeket a webes adatforgalom átirányítására is képes.

Az EZLife alapvetően a tipikus reklámprogramok közé sorolható. Ennek oka, hogy ez a kártékony alkalmazás is elsősorban arra törekszik, hogy minél több hirdetést tudjon megjeleníteni a fertőzött rendszereken. Emellett azonban még egy nemkívánatos művelet végrehajtására is alkalmas, hiszen bizonyos weboldalak esetében alkalmas a hálózati adatforgalom átirányítására.

Az Isidor Biztonsági Központ szerint az EZLife elsősorban azon felhasználók számára okozhat kellemetlenséget, akik az Internet Explorert használják, ugyanis a kártevő a fertőzés során leginkább a Microsoft böngészőjével kapcsolatban végez módosításokat. A reklámprogram a regisztrációs adatbázis manipulálásával gondoskodik arról, hogy a Windows minden egyes betöltődésekor automatikusan el tudjon indulni.

Amikor az EZLife reklámprogram elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%ProgramFiles%\Smart-Ads-Solutions
%ProgramFiles%\ezLife
C:\WINDOWS\system32\[véletlenszerű karakterek].dll
C:\WINDOWS\system32\[véletlenszerű karakterek].dll
%UserProfile%\Application Data\Smart-Ads-Solutions\SmartAds\download\bndl_1540.exe
%ProgramFiles%\ezLife\ezLife\1.5.4.0\uninstall.exe
%ProgramFiles%\Smart-Ads-Solutions\SmartAds\1.4.6.0\uninstall.exe

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"ezLife" = "C:\WINDOWS\system32\[RANDOM FILE NAME ONE].dll"

3. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_CLASSES_ROOT\CLSID\{E0EC6FBA-F009-3535-95D6-B6390DB27DA1}\InprocServer32\"default" = "C:\WINDOWS\system32\[véletlenszerű karakterek].dll"
HKEY_CLASSES_ROOT\CLSID\{275817B3-0A2A-4BFE-8036-0B61D81FE603}\InprocServer32\"default" = "C:\WINDOWS\system32\[véletlenszerű karakterek].dll"

4. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart-Ads-Solutions\UninstallString
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ezLife\UninstallString
HKEY_CLASSES_ROOT\CscrptXt.CscrptXt.1.0
HKEY_CLASSES_ROOT\CscrptXt.CscrptXt
HKEY_CLASSES_ROOT\adHlpr.adHlpr.1.0
HKEY_CLASSES_ROOT\adHlpr.adHlpr
HKEY_CLASSES_ROOT\adShotHlpr.adShotHlpr.1.0
HKEY_CLASSES_ROOT\adShotHlpr.adShotHlpr
HKEY_CURRENT_USER\Software\Smart-Ads-Solutions
HKEY_CURRENT_USER\Software\ezLife
HKEY_LOCAL_MACHINE\SOFTWARE\Smart-Ads-Solutions
HKEY_LOCAL_MACHINE\SOFTWARE\ezLife
HKEY_CLASSES_ROOT\AppID\{38061EDC-40BB-4618-A8DA-E56353347E6D}
HKEY_CLASSES_ROOT\AppID\{A9722A0D-365F-47D2-B70B-37D046316D99}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart-Ads-Solutions
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ezLife

5. Az Internet Explorerhez telepít egy BHO (Browser Helper Object) objektumot

6. Reklámokat jelenít meg.

7. Webes átirányításokat hajt végre.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.