A Renos.NX trójai célja, hogy hamis víruskereső alkalmazásokat juttasson fel az általa megfertőzött számítógépekre. A trójai vagy a FakeSecSen vagy a FakeXPA ál-antivírust tölti le a rendszerekre, majd gondosan fel is telepíti azokat. Amint valamelyik nemkívánatos program elindul, akkor alaptalan biztonsági riasztásokat jelenít meg, és a haszontalan szoftver teljes értékű változatának megvásárlására igyekszik ösztönözni a felhasználót.
Az Isidor Biztonsági Központ jelentése kitér arra, hogy a Renos.NX rendszerinformációk kiszivárogtatására is alkalmas. Emellett pedig az Internet Explorerben webes átirányításokat hajt végre, amelyek révén kártékony weblapok jelenhetnek meg a böngészőben.
Amikor a Renos.NX trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. A regisztrációs adatbázishoz hozzáadja a következő bejegyzést:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"MSFox"=[a trójai elérési útvonala]
2. A regisztrációs adatbázisban módosítja az alábbi értéket:
HKLM\Software\Mozilla\MSFox\Str[...]="base64 kódolt stiring"
3. Interneten keresztül, előre meghatározott szerverekről egy fájlt tölt le, amelyet az alábbiak szerint ment le:
%temp%\~tmpa.exe
4. A letöltött fájlt elindítja.
5. Feltelepít egy FakeSecSen vagy egy FakeXPA hamis antivírus programot.
6. Reklámokat jelenít meg.
7. Az Internet Explorerben webes átirányításokat hajt végre.
8. Rendszerinformációkat szivárogtat ki a terjesztői számára.
1 hozzászólás
Üdv! Egy ilyen fakescan zaklatja a gépem. Mivel írthatnám ki véglegesen? A harmadik újratelepítés sem segített. A SpyBot felismeri, de gyökeresen képtelen kiírtani.