A legtöbb problémát okozó hamis víruskereső alkalmazások sok esetben minden alapot nélkülöző riasztásokkal próbálják megtéveszteni a felhasználókat, és elhitetni azt, hogy az adott PC fertőzött. Ezzel szemben az RSTAntivirus2010 nevű ál-antivírus (amely egyébként látszólag még egy tűzfalat is tartalmaz) nem riogat. A program elindít egy szimulált víruskeresést, aminek a végén mindig egy olyan üzenetet jelenít meg, amely szerint a számítógép nem tartalmaz kártékony fájlt. Az RSTAntivirus2010 viszont - hasonlóan a többi ál-antivírushoz - egy olyan felbukkanó ablakot nyit meg, amelyben arról tájékoztatja a felhasználót, hogy a jelenleg futó szoftver csak kipróbálási célokat szolgál, ezért célszerű megvásárolni a teljes értékű verziót.
Forrás: Panda Security
Az Isidor Biztonsági Központ jelentése szerint az RSTAntivirus2010 az Internet Explorerhez egy olyan összetevőt telepít, amelynek révén folyamatosan képes figyelemmel kísérni a webböngészést és a megnyitott weboldalakat. Ezáltal a felhasználó internetezési szokásait is képes kikémlelni.
Amikor az RSTAntivirus2010 elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Program Files%\RST Antivirus 2010\RST ANTIVIRUS 2010.EXE
%Program Files%\RST Antivirus 2010\COMDLG32.DLL
%Program Files%\RST Antivirus 2010\DWMAPI.DLL
%Program Files%\RST Antivirus 2010\LIBCLAMAV.DLL
%Program Files%\RST Antivirus 2010\OLEDLG.DLL
%Program Files%\RST Antivirus 2010\PTHREADVC2.DLL
%Program Files%\RST Antivirus 2010\WININET.DLL
%Program Files%\RST Antivirus 2010\UNINSTALL.BAT
%Program Files%\RST Antivirus 2010\ALGGUI.EXE
%Program Files%\RST Antivirus 2010\SVCHOST.EXE
%Program Files%\RST Antivirus 2010\ADC32.DLL
%Program Files%\RST Antivirus 2010\WP3.DAT
%Program Files%\RST Antivirus 2010\WP4.DAT
%Program Files%\RST Antivirus 2010\NUAR.OLD
%Program Files%\RST Antivirus 2010\SKYNET.DAT
2. A Windows Asztalra felmásol egy RST ANTIVIRUS 2010.LNK nevű parancsikont.
3. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKEY_CURRENT_USER\Software\RST Antivirus 2010
HKEY_CLASSES_ROOT\CLSID\{77DC0Baa-3235-4ba9-8BE8-aa9EB678FA02}
HKEY_LOCAL_MACHINE\ Software\ Microsoft\Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\ {77DC0Baa-3235-4ba9-8BE8-aa9EB678FA02}
4. Beregisztrál egy BHO objektumot, amely folyamatosan monitorozza a felhasználó által Internet Explorerben megnyitott weboldalakat.
5. A BHO objektum létrehozásakor a regisztrációs adatbázisban a következő kulcs jön létre:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd
6. Megjelenít egy hamis víruskeresőhöz tartozó felhasználói felületet.
7. Egy szimulált víruskeresést indít, amelynek végén azt jelzi, hogy a számítógép nem fertőzött. Majd egy ablakot jelenít meg, amelyben közli, hogy az alkalmazásnak csak egy próbaverziója fut, és a teljes értékű működéshez meg kell vásárolni a szoftvert.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.