A FakeAlert trójai legújabb variánsa Vista kompatibilis, hamis biztonsági szoftvernek álcázza magát.

A FakeAlert trójai már eddig is nagyon sok problémát okozott. Rengeteg számítógépet fertőzött meg, amelyeken meglehetősen nehezen helyreállítható műveleteket végzett. A kártékony program legújabb, “CU” betűjelű variánsa jó példa arra, hogy e trójaival továbbra is komolyan kell számolni.

A FakeAlert.CU Vista Antivirus 2008 nevű szoftvernek álcázza magát. Ez a hamis biztonsági alkalmazás látszólag víruskeresést végez a rendszereken, és számos nem létező fertőzést jelez. A hamis biztonsági riasztások a felhasználók megtévesztését szolgálják. A trójai olyan felbukkanó ablakokat is megjelenít, amelyre kattintva, különféle kártékony weboldalak töltődnek be az alapértelmezett webböngészőben.

Hódítanak a hamis biztonsági szoftverek

Hódítanak a hamis biztonsági szoftverek

Amikor a FakeAlert.CU trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlt:
    %System%\YUR[véletlenszerűen generált szám].exe
  2. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\YUR.exe
    = “%System%\YUR[véletlenszerűen generált szám ].exe”
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\YUR.exe
    = “%System%\YUR[véletlenszerűen generált szám].exe”
  3. Felbukkanó ablakokat jelenít meg.
  4. A Windows tálcáján különböző üzeneteket jelenít meg. Ezek lehetnek például:
    Attn! Low Performance!
    Error! Check connection!
    Security error!
    Attn! Attack Detected!
  5. Egy üzenetablakot jelenít meg, amelyben a számítógéppel kapcsolatos — általában nem létező — problémákra hívja fel a figyelmet.
  6. Amennyiben a felhasználó az üzenetablakokra kattint, akkor a böngészőjében betöltődik egy kártékony weboldal.
  7. Egy hamis biztonsági szoftvert indít el, amely számos, nem létező fertőzést tár a felhasználó elé.
  8. További FakeAV variánsokat tölt le az Interneten keresztül.