A FakeAlert trójai legújabb variánsa Vista kompatibilis, hamis biztonsági szoftvernek álcázza magát.
A FakeAlert trójai már eddig is nagyon sok problémát okozott. Rengeteg számítógépet fertőzött meg, amelyeken meglehetősen nehezen helyreállítható műveleteket végzett. A kártékony program legújabb, “CU” betűjelű variánsa jó példa arra, hogy e trójaival továbbra is komolyan kell számolni.
A FakeAlert.CU Vista Antivirus 2008 nevű szoftvernek álcázza magát. Ez a hamis biztonsági alkalmazás látszólag víruskeresést végez a rendszereken, és számos nem létező fertőzést jelez. A hamis biztonsági riasztások a felhasználók megtévesztését szolgálják. A trójai olyan felbukkanó ablakokat is megjelenít, amelyre kattintva, különféle kártékony weboldalak töltődnek be az alapértelmezett webböngészőben.
Amikor a FakeAlert.CU trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlt:
%System%\YUR[véletlenszerűen generált szám].exe - A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\YUR.exe
= “%System%\YUR[véletlenszerűen generált szám ].exe”
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\YUR.exe
= “%System%\YUR[véletlenszerűen generált szám].exe” - Felbukkanó ablakokat jelenít meg.
- A Windows tálcáján különböző üzeneteket jelenít meg. Ezek lehetnek például:
Attn! Low Performance!
Error! Check connection!
Security error!
Attn! Attack Detected! - Egy üzenetablakot jelenít meg, amelyben a számítógéppel kapcsolatos — általában nem létező — problémákra hívja fel a figyelmet.
- Amennyiben a felhasználó az üzenetablakokra kattint, akkor a böngészőjében betöltődik egy kártékony weboldal.
- Egy hamis biztonsági szoftvert indít el, amely számos, nem létező fertőzést tár a felhasználó elé.
- További FakeAV variánsokat tölt le az Interneten keresztül.