A FakeAV.NF trójai a fertőzött számítógépekre egy VirusResponse Lab 2009 nevű alkalmazás formájában kerül fel. Ez tulajdonképpen egy hamis víruskereső, amely nem létező vírusfertőzésekkel riogatja a felhasználókat, majd próbálja rávenni őket, hogy vásárolják meg a szoftver teljes változatát, ugyanis az képes eltávolítani a kártékony programokat a PC-ről. A valóságban azonban szó sincs arról, hogy a trójai által telepített alkalmazás képes lenne ellátni a védelmi feladatokat.
A trójai az Internet Explorerhez különféle összetevőket telepít, amelyek révén eléri, hogy a felhasználó által megtekinteni kívánt weboldal egy másik, előre meghatározott, kártékony weboldalra irányítódjon át. Ezt követően további kártevők kerülhetnek rá a már amúgy is fertőzött számítógépekre.
Amikor a FakeAV.NF trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Program Files%\ViRsLab\uninst.exe
%Program Files%\ViRsLab\ViRsLab.exe
%Program Files%\ViRsLab\ViRsLabWarning.dll
2. Egy BHO objektumot regisztrál be, amely egy ViRsLabWarning.dll nevű állományhoz tartozik.
3. Létrehozza a következő bejegyzéseket a regisztrációs adatbázisban:
HKCR\ViRsLabWarning.WarningBHO\CLSID\@ = "{2B394226-862F-4aa4-AA53-988E24F50841}"
HKLM\SOFTWARE\Classes\CLSID\{2B394226-862F-4aa4-AA53-988E24F50841}
HKCR\CLSID\{2B394226-862F-4aa4-AA53-988E24F50841}\@ = "ViRsLabWarningBHO Class"
HKCR\CLSID\{2B394226-862F-4aa4-AA53-988E24F50841}\InprocServer32 @ = "%Program Files%\ViRsLab\ViRsLabWarning.dll"
4. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKCU\Software\ViRsLab
HKCU\Software\ViRsLab\aid = ""
HKCU\Software\ViRsLab\Update
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ViRsLab\@ = "%Program Files%\ViRsLab\ViRsLab.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2B394226-862F-4aa4-AA53-988E24F50841}\NoExplorer = dword:00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\DisplayName = "VirusResponse Lab 2009 2.1"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\UninstallString = "%Program Files%\ViRsLab\uninst.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\DisplayIcon = "%Program Files%\ViRsLab\ViRsLab.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\DisplayVersion = "2.1"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\NSIS:StartMenuDir = "VirusResponse Lab 2009 2.1"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\URLInfoAbout = "[...]"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\Publisher = "VirusResponse Lab 2009 Software"
5. Létrehozza a következő parancsikonokat:
%Documents and Settings%\\Desktop\VirusResponse Lab 2009 2.1.lnk
%Documents and Settings%\\Application Data\Microsoft\Internet Explorer\Quick Launch\VirusResponse Lab 2009 2.1.lnk
%Documents and Settings%\\Start Menu\VirusResponse Lab 2009 2.1.lnk
%Documents and Settings%\\Start Menu\Programs\VirusResponse Lab 2009 2.1\VirusResponse Lab 2009 2.1.lnk
6. A regisztrációs adtabázisban módosítja a következő értéket:
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = "about:blank"
Ezzel módosítja az Internet Explorer kezdőoldalát.
7. Az Internet Explorerben megjelenítendő weboldalakat átirányítja egy másik weblapra.
8. Hamis biztonsági riasztásokat jelenít meg, és megpróbálja rávenni a felhasználót arra, hogy fizessen elő a hamis biztonsági szoftverre.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.