Népszerű webes szolgáltatásokat szemelt ki a ProfileStylez trójai

A ProfileStylez trójai adatlopásból és webes reklámok megjelenítéséből is kiveszi a részét. Mindezt úgy teszi, hogy a fertőzött rendszereken nagymennyiségű módosítást végez, különösen, ami a regisztrációs adatbázist illeti. Ezért az eltávolítása, illetve az általa okozott fertőzés utáni rendszerhelyreállítás manuális eszközök segítségével történő elvégzése nehézségekbe ütközhet.

Az Isidor Biztonsági Központ közleménye alapján elmondható, hogy a ProfileStylez jelenlegi variánsa a Yahoo webes levelezőszolgáltatásához próbál bizalmas adatokat összegyűjteni, amelyeket egy távoli szerverre tölt fel. Ezt követően pedig az Internet Explorer, a Chrome valamint a Firefox böngészők mindegyikéhez feltelepít egy-egy kiegészítőt, amelyek segítségével hirdetéseket tud megjeleníteni. A kártékony program a YouTube és a Facebook böngészése közben tud meglepetéseket okozni, amikor egyes esetekben szokatlan helyekre illeszt be különböző weboldalakra mutató reklámokat.

A ProfileStylez eddig felfedezett példányai egy FreeCodec.exe nevű állományban terjedtek, de a fertőzött fájl neve bármikor megváltozhat.

Amikor a ProfileStylez trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő könyvtárakat, amelyekbe bemásolja a saját állományait:
%ProgramFiles%/profilestyleapp
%ProgramFiles%/ProfileStylez

2. Az Internet Explorerhez beregisztrál egy BHO (Browser Helper Object) objektumot.

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi kulcsokat:
HKLM/SOFTWARE/Classes/CLSID/{85BEADF3-D91B-3A3A-A4D3-22CCBD07663D}
HKLM/SOFTWARE/Classes/CLSID/{AA6AA15D-FEB4-3C0D-B711-8ABB63F3F406}
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{85beadf3-d91b-3a3a-a4d3-22ccbd07663d}
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{aa6aa15d-feb4-3c0d-b711-8abb63f3f406}
HKLM/SOFTWARE/Classes/BHO_HelloWorld.BHO

4. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLM/SOFTWARE/Classes/BHO_HelloWorld.BHO/="BHO_HelloWorld.BHO"

5. A regisztrációs adatbázis következő kulcsaiban szereplő értékeket manipulálja:
HKLM/SOFTWARE/Classes/BHO_HelloWorld.BHO/CLSID
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{85beadf3-d91b-3a3a-a4d3-22ccbd07663d}
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{aa6aa15d-feb4-3c0d-b711-8abb63f3f406}
HKLM/SOFTWARE/Classes/CLSID/{85BEADF3-D91B-3A3A-A4D3-22CCBD07663D}
HKLM/SOFTWARE/Classes/CLSID/{AA6AA15D-FEB4-3C0D-B711-8ABB63F3F406}
HKLM/SOFTWARE/Classes/CLSID/{85BEADF3-D91B-3A3A-A4D3-22CCBD07663D}/Implemented Categories
HKLM/SOFTWARE/Classes/CLSID/{AA6AA15D-FEB4-3C0D-B711-8ABB63F3F406}/Implemented Categories
HKLM/SOFTWARE/Classes/CLSID/{85BEADF3-D91B-3A3A-A4D3-22CCBD07663D}/Implemented Categories/{62C8FE65-4EBB-45e7-B440-6E39B2CDBF29}
HKLM/SOFTWARE/Classes/CLSID/{AA6AA15D-FEB4-3C0D-B711-8ABB63F3F406}/Implemented Categories/{62C8FE65-4EBB-45e7-B440-6E39B2CDBF29}
HKLM/SOFTWARE/Classes/CLSID/{85BEADF3-D91B-3A3A-A4D3-22CCBD07663D}/InprocServer32
HKLM/SOFTWARE/Classes/CLSID/{AA6AA15D-FEB4-3C0D-B711-8ABB63F3F406}/InprocServer32

6. Az Internet Explorer kiegészítőinek listájában megjelenít egy BHO_HelloWorld.BHO nevű bővítményt.

7, Feltelepít a Google Chrome böngészőhöz egy kiegészítőt.

8, A regisztrációs adatbázisban létrehozza a következő kulcsokat:
HKLM/SOFTWARE/Google/Chrome/Extensions/adfcngjjaokkbbagaablppejfmacdaao
HKLM/SOFTWARE/Google/Chrome/Extensions/bkleoojholhbbbpfmfaefpohnhhhjeap

9. A Mozilla Firefox böngészőhöz egy új kiegészítőt telepít fel.

10. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKCU/Software/Mozilla/Firefox/Extensions/{EB132DB0-A4CA-11DF-9732-0E29E0D72085}="C://Program Files//profilestyleapp//profilestyleapp"
HKCU/Software/Mozilla/Firefox/Extensions/{EB132DB0-A4CA-11DF-9732-0E29E0D72085}="C://Program Files//ProfileStylez//ProfileStylez"

11. A regisztrációs adatbázishoz hozzáadja a következő kulcsokat:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Uninstall/ProfileApp
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Uninstall/Profile Stylez

12. Megpróbál a Yahoo! Mail szolgáltatáshoz felhasználóneveket és jelszavakat szerezni, majd azokat feltölti egy távoli szerverre.

13. A felhasználó címlistájához egy új e-mail címet ad hozzá.

14. Amennyiben a felhasználó a YouTube vagy a Facebook weboldalait böngészi, akkor azokon egy-egy IFRAME-ben hirdetéseket jelenít meg.

15. A Windows asztalán létrehoz egy parancsikont.