A SecurityMasterAV nevű, hamis víruskereső alkalmazás kezdetben jól megszokott műveleteket hajt végre a kiszemelt rendszereken. Ennek megfelelően feltelepíti a saját fájljait, majd egy hamis víruskeresés szimulálása közben alaptalan biztonsági riasztásokat jelenít meg. Ezt követően pedig közli, hogy a szoftver teljes értékű megvásárlása után - a nem is létező - kártékony programok eltávolíthatóvá válnak.
Az Isidor Biztonsági Központ közleményéből az is kiderült, hogy azért a SecurityMasterAV terjesztői is igyekeztek néhány újdonsággal előrukkolni. Az ál-antivírus ugyanis olyan módosításokat végez, többek között a regisztrációs adatbázisban valamint a Windows Hosts állományában, amelyek réven megpróbálja megakadályozni, hogy a PC-re további hamis víruskeresők juthassanak fel, de a valódi antivírus alkalmazások működését is igyekszik megbénítani.
A SecurityMasterAV terjesztői marketing szempontból is igyekeztek mindent megtenni a megtévesztett felhasználók lekenyerezése érdekében, hiszen most 225 dollár helyett mindössze 90 dollárért árulnak olyan licencet a haszontalan szoftverükhöz, amely örökös frissítést biztosít a programhoz. Nagyon fontos, hogy az ilyen trükköknek nem szabad bedőlni!
Amikor a SecurityMasterAV elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja a saját állományait a C:\Documents and Settings\%username%\Application Data könyvtárba.
2. Parancsikonokat generál az alábbi könyvtárakba:
C:\Documents and Settings\%username%\Start Menu
C:\Documents and Settings\%username%\Start Menu\Programs.
3. Módosítja a Windows Hosts állományát, amellyel megpróbálja megakadályozni, hogy a számítógépre további ál-antivírus programok töltődjenek le.
4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\3F2BBC05-40DF-11D2-9455-00104BC936FF
5. A regisztrációs adatbázis következő kulcsába számos értéket hoz létre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\%filename%
Debugger = svchost.exe
6. A regisztrációs adatbázisból olyan bejegyzéseket töröl ki, amelyek valódi víruskereső programokhoz tartoznak.
7. Figyelmeztet, hogy nincs megfelelő vírusvédelem a számítógépen.
8. Szimulált víruskeresést indít.
9. Alaptalan riasztásokat jelenít meg.
10. Megpróbálja rávenni a felhasználót, hogy vásárolja meg a szoftver teljes értékű változatát.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.