A Cedel trójai az ál-antivírus programok közé is besorolható, hiszen hamis biztonsági riasztások révén igyekszik megtéveszteni a felhasználókat, és rávenni őket, hogy vásárolják meg az általa reklámozott víruskereső alkalmazás teljes értékű verzióját. A Cedel ezúttal a megtévesztéshez a Microsoft biztonsági szoftvereit és szolgáltatásait használja fel. Először egy hamis, Windows Update frissítés keretében látszólag letölti a Microsoft kártékony programok eltávolítására szolgáló (MSRT - Malicious Software Removal Tool) alkalmazását. Majd egy, az MSRT-re megszólalásig hasonlító ablakban több, a valóságban nem létező kártékony program jelenlétére hívja fel a figyelmet, és egy Shield EC Antivirus nevű szoftvert ajánl a felhasználó figyelmébe, amely állítólag minden bajtól meg tudja szabadítani a fertőzött rendszereket. Azonban a valóságban ebből semmi sem igaz.
Az Isidor Biztonsági Központ felhívta a figyelmet arra, hogy a Cedel az MSRT mellett a Windows beépített tűzfalának biztonsági riasztásait is képes utánozni. Amennyiben egy riasztás alkalmával a felhasználó az "Enable Protection" gombra kattint, akkor a trójai az alapértelmezett böngészőben megnyitja a "Shield EC Antivirus" weboldalát.
A Cedel a fertőzött rendszereken mindössze egy fájlt hoz létre, majd a regisztrációs adatbázis módosításával gondoskodik arról, hogy a Windows minden egyes betöltődésekor automatikusan el tudjon indulni.
Amikor a Cedel trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%UserProfile%\mrtw.exe
2. Létrehoz egy mrtw.exe nevű ikont a Windows Asztalára.
3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a számítógépen.
4. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\mrtw="%UserProfile%\mrtw.exe"
5. Megjelenít egy olyan ablakot, amely nagyon hasonlít a Windows Update szolgáltatás ablakára, és látszólag letölti a Microsoft MSRT alkalmazásának legújabb verzióját.
6. Az MSRT szoftverhez megszólalásig hasonlító felületen hamis vírusriasztásokat jelenít meg.
7. Egy Shield EC Antivirus nevű víruskeresőt ajánl a felhasználó számára, amellyel állítólag eltávolíthatóvá válhatnak a nem is létező kártevők.
8. Különböző biztonsági riasztásokkal bosszantja a felhasználót.
9. Megjelenít egy olyan dialógusablakot, amely nagyon hasonlít a Windows beépített tűzfala által is alkalmazott felülethez. Amennyiben ezen a felhasználó az "Enable Protection" gombra kattint, akkor az alapértelmezett böngészőben megnyitja az általa "reklámozott" víruskereső weboldalát.
10. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify="dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify="dword:00000001"
HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify="dword:00000001"
Ezzel kikapcsolja a Windows Biztonsági Központ riasztásait.
11. A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\LowRiskFileTypes="".exe;""
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.