A hamis antivírus alkalmazások legújabb képviselője egy meglehetősen érdekes nevet kapott, hiszen MacroVirus néven települ fel a számítógépekre. Annak ellenére, hogy nem egy makróvírusról van szó, mindenképpen a kártékony, haszontalan alkalmazások közé sorolható, ugyanis nem az a célja, hogy a számítógépeket megvédje vagy megtisztítsa a rosszindulatú programoktól, hanem a pénzszerzés.
Forrás: Panda Security
Az Isidor Biztonsági Központ közleményéből kiderül, hogy a Panda Security által felfedezett MacroVirus - hasonlóan az ál-víruskeresőkhöz - hamis biztonsági riasztásokkal bombázza a felhasználókat, és arra próbálja rávenni őket, hogy vásárolják meg a szoftver "teljes értékű" verzióját, amely a felismert számítógépes károkozókat képes kiirtani.
A kártékony program a Program Files\MacroVirus könyvtárba másolja be a saját állományait, majd a regisztrációs adatbázisban létrehoz számos bejegyzést. Amint ezzel elkészül, akkor elindít egy szimulált víruskeresést.
Amikor a MacroVirus elindul, akkor az alábbi műveleteket hajtja végre:
1. A Program Files\MacroVirus könyvtárba létrehozza a következő állományokat:
MACROVIRUS.EXE
LAUNCHER.EXE
UNINS000.EXE
SVCP71.DLL
MSVCR71.DLL
PYTHON24.DLL
SQLITE3.DLL
_SQLITE.PYD
_TST.PYD
BZ2.PYD
MAVAPI.PYD
ZLIB.PYD
MACROVIRUS.URL
MAV.DB
MAV.DB.VERSION
MAV.LOG
PYTHON24.ZIP
UNICODEDATA.PYD
UNINS000.DAT
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MacroVirus = C:\Program Files\MacroVirus\MacroVirus.exe -boot
3. A regisztrációs adatbázisban létrehozza a következő értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MacroVirus_is1 UninstallString = C:\Program Files\MacroVirus\unins000.exe
HKEY_CURRENT_USER\Software\MacroVirus\Start = Yes
HKEY_CURRENT_USER\Software\MacroVirus\MacroVirus\Settings\AllDrives = 00, 00, 00, 00
HKEY_CURRENT_USER\Software\MacroVirus\MacroVirus\Settings\DownloadUpdates = 01, 00, 00, 00
HKEY_CURRENT_USER\Software\MacroVirus\MacroVirus\Settings\LastScanTime = %date of the last scan carried out%
HKEY_CURRENT_USER\Software\MacroVirus\MacroVirus\Settings\LogActivities = 01, 00, 00, 00
HKEY_CURRENT_USER\Software\MacroVirus\MacroVirus\Settings\NumberOfScans = 03, 00, 00, 00
HKEY_CURRENT_USER\Software\MacroVirus\MacroVirus\Settings\ScanActiveProcs = 01, 00, 00, 00
HKEY_CURRENT_USER\Software\MacroVirus\MacroVirus\Settings\ScanCookie = 01, 00, 00, 00
HKEY_CURRENT_USER\Software\MacroVirus\MacroVirus\Settings\ScanDeep = 00, 00, 00, 00
HKEY_CURRENT_USER\Software\MacroVirus\MacroVirus\Settings\ScanFiles = 01, 00, 00, 00
HKEY_CURRENT_USER\Software\MacroVirus\MacroVirus\Settings\ScanWinReg = 01, 00, 00, 00
HKEY_CURRENT_USER\Software\MacroVirus\MacroVirus\Settings\Startup = 01, 00, 00, 00
HKEY_CURRENT_USER\Software\MacroVirus\MacroVirus\Settings\Updated = 1
HKEY_CURRENT_USER\Software\MacroVirus\MacroVirus\Settings\UpdateTime
4. Elindít egy szimulált víruskeresést.
5. Hamis biztonsági riasztásokat jelenít meg.
6. Megpróbálja rávenni a felhasználót arra, hogy vásárolja meg a program teljes értékű változatát.
7. A Windows Asztalon létrehoz egy MACROVIRUS nevű parancsikont.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.