Vírushíradó – Böngészőket bolondít meg a ZefarchRisk trójai

A ZefarchRisk trójai mind az Internet Explorer, mind a Firefox felhasználóinak böngészési szokásait képes kikémlelni, és kártékony weboldalak megjelenítésével számos kockázatnak kitenni a számítógépeket.

A ZefarchRisk trójai készítői sem az Internet Explorer, sem a Mozilla Firefox webböngésző felhasználóival nem akartak kivételezni, ezért a kártékony programjukat úgy írták meg, hogy az mindkét népszerű alkalmazás esetében képes legyen ellátni a feladatait. A trójai a Firefoxba különféle bővítményeket telepít, melyek révén képes figyelni és módosítani a leggyakrabban használt webes keresők által megjelenített találatokat. Így a Google, a Yahoo, az AOL stb. esetében is egy-egy olyan JavaScript kódot szúr be a keresési eredmények közé, amely egy előre meghatározott kártékony weboldalra mutat.

A trójai az Internet Explorerhez egy BHO objektumot regisztrál be, amely nem a weboldalak tartalmát figyeli, hanem a felhasználó által meglátogatott webhelyek címét. Amennyiben ebben különféle, előre meghatározott kifejezéseket vél felfedezni, akkor egész egyszerűen átirányítja a böngészőt különféle rosszindulatú weblapokra.

Amikor a ZefarchRisk trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
   %Windir%\[véletlenszerű karakterek].dll
   %UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome.manifest
   %UserProfile%\Application Data\Mozilla\Firefox\Extensions\install.rdf
   %UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome\content\_cfg.js
   %UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome\content\c.js
   %UserProfile%\Application Data\Mozilla\Firefox\Extensions\chrome\content\overlay.xul
2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
   “[véletlenszerű karakterek]” = “rundll32.exe “%Windir%\[RANDOM CHARACTERS].dll”,e”
3. Beregisztrál egy BHO objektumot az Internet Explorerhez:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\[véletlenszerű CLSID]”(Default)” =
   “%Windir%\[véletlenszerű karakterek].dll”
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\[véletlenszerű CLSID]”(Default)” =
   “%Windir%\[véletlenszerű karakterek].dll”
4. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
   HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions\[email protected]
5. A Firefox esetében folyamatosan figyelemmel kíséri a következő keresőkben végzett műveleteket:
   google
   yahoo
   aol.com
   live
   msn
   ask.com
6. A keresési eredmények közé egy JavaScript kódot fűz, amely egy előre meghatározott távoli szerverre mutat.
7. Egy Internet Explorerbe integrált BHO objektum révén monitorozza a felhasználó által megadott URL-eket, majd egyes esetekben átirányításokat végez különféle, kártékony weboldalakra.