A Windows Asztalát átalakító trójai terjed
A Desktophijack.C trójai legfőbb feladata, hogy megváltoztassa a Windows Asztalának megjelenését, majd fájlokat töltsön le az Internetről.
A Desktophijack.C trójai felismerése meglehetősen egyszerű, ugyanis teljesen megváltoztatja a Windows Asztalának kinézetét. A trójai ezt követően különböző fájlokat tölt le az Internetről.
Amikor a Desktophijack.C elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza az alábbi fájlokat:
%System%\intell32.exe
%System%\oleext.dll
%System%\oleext32.dll
%System%\wppp.html
%Windir%\uninstIU.exe.
2. A regisztrációs adatbázis
HKEY_USERS\Software\Microsoft\Windows\Current Version\Run
kulcsához hozzáadja az
“intell32.exe” = “%System%\intell32.exe” értéket.
3. Létrehozza a következő bejegyzéseket a regisztrációs adatbázisban:
HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982 A3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Uninstall\Internet Update
4. Módosítja a regisztrációs adatbázis
HKEY_CURRENT_USER\Control Panel\Colors
kulcsában szereplő
“Background” = “0 0 0” értéket.
Ezzel módosítja az Asztal hátterét.
5. Módosítja a regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer
kulcsában szereplő
“NoActiveDesktopChanges” = “1” értéket.
6. A regisztrációs adatbázis
HKEY_CURRENT_USER\Control Panel\Desktop
kulcsához hozzáadja a
“WallpaperStyle” = “0”
“Wallpaper” = “%SystemRoot%\%System%\wppp.html” értékeket.
7. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\System
kulcsához hozzáadja a
“NoDispBackgroundPage” = “1”
“NoDispAppearancePage” = “1” értékeket.
8. Háttérként megjeleníti az alábbi képet:
9. Elhelyez egy kis felkiáltójelet tartalmazó ikont a Tálcán. Amikor a felhasználó efölé húzza az egeret, akkor az alábbi üzenet jelenik meg:
“Your computer is infected.”
10. Amikor a felhasználó az ikonra duplán kattint, akkor a trójai megnyitja az alapértelmezett webböngészőt, és megjelenít egy weboldalt.
11. Letölt egy fájlt az Internetről.
12. Megpróbálja a wininet.dll fájlt megfertőzni egy oleext32.dll nevű állománnyal.