Hódítanak a hamis biztonsági szoftverek
A FakeAlert trójai legújabb variánsa Vista kompatibilis, hamis biztonsági szoftvernek álcázza magát.
A FakeAlert trójai már eddig is nagyon sok problémát okozott. Rengeteg számítógépet fertőzött meg, amelyeken meglehetősen nehezen helyreállítható műveleteket végzett. A kártékony program legújabb, “CU” betűjelű variánsa jó példa arra, hogy e trójaival továbbra is komolyan kell számolni.
A FakeAlert.CU Vista Antivirus 2008 nevű szoftvernek álcázza magát. Ez a hamis biztonsági alkalmazás látszólag víruskeresést végez a rendszereken, és számos nem létező fertőzést jelez. A hamis biztonsági riasztások a felhasználók megtévesztését szolgálják. A trójai olyan felbukkanó ablakokat is megjelenít, amelyre kattintva, különféle kártékony weboldalak töltődnek be az alapértelmezett webböngészőben.
Amikor a FakeAlert.CU trójai elindul, akkor az alábbi műveleteket hajtja végre:
-
Létrehozza a következő fájlt:
%System%\YUR[véletlenszerűen generált szám].exe -
A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\YUR.exe
= “%System%\YUR[véletlenszerűen generált szám ].exe”
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\YUR.exe
= “%System%\YUR[véletlenszerűen generált szám].exe” -
Felbukkanó ablakokat jelenít meg.
-
A Windows tálcáján különböző üzeneteket jelenít meg. Ezek lehetnek például:
Attn! Low Performance!
Error! Check connection!
Security error!
Attn! Attack Detected! -
Egy üzenetablakot jelenít meg, amelyben a számítógéppel kapcsolatos — általában nem létező — problémákra hívja fel a figyelmet.
-
Amennyiben a felhasználó az üzenetablakokra kattint, akkor a böngészőjében betöltődik egy kártékony weboldal.
-
Egy hamis biztonsági szoftvert indít el, amely számos, nem létező fertőzést tár a felhasználó elé.
-
További FakeAV variánsokat tölt le az Interneten keresztül.