2010. szeptember 3., péntek

VirusProtector: hamis víruskereső és tűzfal egyben

1
Kristóf Csaba
2010. március 9., 08:15
Nyomtatás
Manapság már nem telik el úgy nap, hogy ne jelenne meg újabb hamis víruskereső alkalmazás. Ezúttal egy VirusProtector nevű ál-antivírus kezdett terjedni.

A VirusProtector nevű program célja, hogy a felhasználót rábírja egy teljes értékű verzió megvásárlására. Az alkalmazás a szokványos ál-antivírus szoftverekhez képest néhány "extra" funkcióval is rendelkezik, ugyanis nemcsak olyan vírusok jelenlétére figyelmeztet, amelyek a valóságban nem is léteznek, hanem olyan internetes támadásokra is, amelyek be sem következtek. Azaz a VirusProtector egy tűzfalat is megpróbál szimulálni, majd további, alaptalan fenyegetettségekről tájékozatja a felhasználót.

Az Isidor Biztonsági Központ közleménye rávilágít arra, hogy a VirusProtector a fájlrendszerben nem végez különösebben sok módosítást, viszont a regisztrációs adatbázisban számos új bejegyzést hoz létre, változtat meg, illetve töröl. Ezért a kártékony program utáni manuális helyreállítás nehézségekbe ütközhet.

Amikor a VirusProtector ál-antivírus elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\MSHist012010030820100309
C:\WINDOWS\Prefetch\1.EXE-335C5EEA.pf
C:\WINDOWS\system32\drivers\[RANDOM FILE NAME].exe
C:\WINDOWS\system32\drivers\[RANDOM FILE NAME].dll
C:\WINDOWS\system32\[RANDOM FILE NAME].exe
C:\WINDOWS\system32\[RANDOM FILE NAME].dll
C:\WINDOWS\[RANDOM FILE NAME].exe
C:\WINDOWS\[RANDOM FILE NAME].dll

2. Letörli az alábbi könyvtárakat:
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\MSHist012008011620080117
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\MSHist012008011720080118

3. Letörli a következő fájlt:
C:\Documents and Settings\Administrator\Local Settings\Temp\Perflib_Perfdata_e38.dat

4. Módosítja az alábbi állományokat:
C:\Documents and Settings\Administrator\Cookies\index.dat
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat
C:\Documents and Settings\Administrator\ntuser.dat.LOG
C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
C:\WINDOWS\Prefetch\PERL.EXE-08A6F3BE.pf
C:\WINDOWS\Prefetch\REGSHOT.EXE-2A173C98.pf
C:\WINDOWS\system32\config\software.LOG
C:\WINDOWS\system32\config\system.LOG

5. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shelly" = "Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"LoadAppInit_DLLs" = "1"
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\"C:\INF\1.exe" = "VirusProtector Application"
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\"HRZR_EHACNGU:P:\VAS\1.rkr" "1B 00 00 00 06 00 00 00 A0 F0 A0 6C C2 BE CA 01"

6. A regisztrációs adatbázisban létrehozza az alábbi kulcsot:
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012010030820100309

7. A regisztrációs adatbázisból kitörli a következő bejegyzéseket:
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012008011620080117
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012008011720080118

8. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\"Directory" = "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\"Directory" = "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\"CachePath" = "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\"CachePath" = "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Cache1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\"CachePath" = "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\"CachePath" = "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Cache2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\"CachePath" = "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\"CachePath" = "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Cache3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\"CachePath" = "C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache4"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\"CachePath" = "C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Cache4"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MSSYCLM\"Start" = "0x389F0129"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MSSYCLM\"Start" = "0x8824EF45"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs" = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs" = "aLslnAJQD.dll"
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\"HRZR_EHACNGU" = "1A 00 00 00 A6 01 00 00 90 50 33 F9 94 00 CA 01"
HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\"HRZR_EHACNGU" = "1B 00 00 00 A7 01 00 00 B0 A6 9E 6C C2 BE CA 01"

Címkék:
Nyomtatás

1 hozzászólás

  1. zed01 írta:
    2010-03-11 07:11:27

    Én azt mondom, mint ahogy autót vezetni sem lehet jogosítvány nélkül, úgy internetezni sem kell hogy lehessen a hozzá való tudás nélkül. Csak azért terjednek ezek a rouge álantivírusok, mert mindig találnak néhány palit akik hajlandóak fizetni a "teljes értékű" változatért. Ha nem lennének ilyen hülyék, akkor ezek a kártevők is eltűnnének.

ESET Online Vírusirtó
Céginfó hírek (x)