Megtévesztő ablakok révén szerez adatokat a Zlob trójai
A Zlob.N trójai megtévesztő ablakok, illetve hibaüzenetek révén próbálkozik a számítógépek megfertőzésével. Amennyiben eléri célját, akkor kártékony fájlokat tölt le az Internetről.
A Zlob.N trójai nem azon kártékony programok közé tartozik, amelyek igyekeznek elrejteni magukat, és a háttérből végezni a tevékenységüket. A Zlob.N ugyanis számos olyan műveletet hajt végre a kiszemelt számítógépeken, amelyek révén gyanakodni lehet a kártevő jelenlétére. A trójai megtévesztő ablakokat és hibaüzeneteket jelenít meg, amelyek révén azt próbálja elhitetni a felhasználóval, hogy a számítógépén a vírusvédelem nem megfelelő, illetve, hogy a PC-je kémprogrammal fertőződött. Amennyiben a felhasználó rákattint az ablakokban szereplő gombokra, akkor a Zlob kártékony fájlokat kezd el letöltögetni az Internetről.
A Zlob.N az Internet Explorerhez egy új eszközsort is telepít.
Amikor a Zlob.N trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%CurrentFolder%\smmain.exe
%CurrentFolder%\smmon.exe
%CurrentFolder%\splug.dll
%CurrentFolder%\spunst.exe
%CurrentFolder%\smunst.exe
%CurrentFolder%\spunst.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\explorer\\\un”rare” = “%CurrentFolder%\smmain.exe”
HKEY_CURRENT_USER\Software\Protection Tools”65005″ = “1”
HKEY_CLASSES_ROOT\CLSID\{F0993251-2512-4710-AF6E-0A13E A199D02}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{F0993251-2512-4710-AF6E-0A13EA199D02}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Ext\Stats\{F0993251-2512-4710-AF6E-0A13EA199D02}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{F0993251-2512-4710-AF6E-0A13E A199D02}
3. Megjeleníti az alábbi ablakokat, illetve hibaüzenetet: