A PC Defender kártékony program az ál-antivírusok közé tartozik. Ahogy azt már a hasonló szoftverek esetében megszokhattuk, a PC Defender is egy állítólagos víruskereső telepítésével kezdi a tevékenységét, amelynek során számos állományt hoz létre, és több ponton módosítja a regisztrációs adatbázist. Ezzel többek között eléri, hogy a Windows minden egyes betöltődésekor automatikusan el tudjon indulni.
Amikor az ál-antivírus felkerül a PC-re, akkor egy szimulált víruskeresés veszi kezdetét, amely jó néhány, valóságban nem is létező kártékony program jelenlétéről értesíti a felhasználót. Az Isidor Biztonsági Központ hangsúlyozta, hogy a program által közölt hamis riasztásokat nem szabad komolyan venni, mert a cél a felhasználók megtévesztése. A PC Defender alapesetben nem képes eltávolítani az állítólagos fertőzéseket, ugyanis mihelyt erre sor kerülne, egy felbukkanó ablakban értesíti a felhasználót arról, hogy a számítógép megtisztításához előbb meg kell vásárolni egy teljes értékű verziót.
Amikor a PC Defender ál-antivírus elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő mappákat:
C:\Documents and Settings\All Users\Start Menu\Programs\PC Defender
C:\Program Files\Def Group
C:\WINDOWS\Installer\{FC2ABC8E-3715-4A32-B8B5-559380F45282}
2. Létrehozza az alábbi állományokat:
%ProgramFiles%\Def Group\PC Defender\Antispyware.exe
%ProgramFiles%\Def Group\PC Defender\hook.dll
%ProgramFiles%\Def Group\PC Defender\proccheck.exe
%SystemDrive%\Documents and Settings\All Users\Desktop\PC Defender.lnk
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\PC Defender\PC Defender.lnk
%Windir%\Installer\14d256.msi
%Windir%\Installer\{FC2ABC8E-3715-4A32-B8B5-559380F45282}\_96222EB958BE7AE1F3D10F.exe
%Windir%\Installer\{FC2ABC8E-3715-4A32-B8B5-559380F45282}\_E99A03E2B966DDBBBF0A73.exe
3. Letörli az alábbi fájlt:
%SystemDrive%\Config.Msi
4. A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "C:\WINDOWS\system32\userinit.exe,"C:\Program Files\Def Group\PC Defender\Antispyware.exe""
5. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Def Group\PC Defender\"" = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Def Group\"" = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Documents and Settings\All Users\Start Menu\Programs\PC Defender\"" = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\WINDOWS\Installer\{FC2ABC8E-3715-4A32-B8B5-559380F45282}\"" = ""
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSISERVER\0000\Control\"ActiveService" = "MSIServer"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSISERVER\0000\Control\"ActiveService" = "MSIServer"
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\"{92780B25-18CC-41C8-B9BE-3C9C571A8263}" = "0x00002001
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Program Files\Def Group\PC Defender\"proccheck.exe" = "proccheck"
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Program Files\Def Group\PC Defender\"proccheck.exe" = "proccheck"
6. A regisztrációs adatbázisban létrehozza a következő kulcsokat:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Features\E8CBA2CF517323A48B5B5539084F2528
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\E8CBA2CF517323A48B5B5539084F2528_
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\UpgradeCodes\C73BCE36FA1AA0E45AB2649A3FA0D390
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\C73BCE36FA1AA0E45AB2649A3FA0D390
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0C7636129D6C606AC34B4F77B98D933A
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\48F1979EDA9389E44C3097C667211849
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AA7C3518924A9561AB587A3AED215D82
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E8CBA2CF517323A48B5B5539084F2528
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\E8CBA2CF517323A48B5B5539084F2528
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{FC2ABC8E-3715-4A32-B8B5-559380F45282}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSISERVER\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSISERVER\0000\Control
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\SessionInfo
HKEY_USERS\.DEFAULT\Software\Def Group
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Explorer\SessionInfo\00000000000003e7
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows Script
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\SessionInfo
HKEY_USERS\S-1-5-18\Software\Def Group
7. A regisztrációs adatbázisból kitörli az alábbi értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Config.Msi\"" = ""
8. Hamis biztonsági riasztásokat jelenít meg.
9. A felhasználót megpróbálja rávenni egy teljes értékű verzió megvásárlására.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.