Reklámokból él a Proscks.B trójai
A Proscks.B trójai elsősorban reklámok megjelenítésével bosszantja a fertőzött számítógépek tulajdonosait.
A Proscks.B trójai rendszerfájlok megfertőzésével gondoskodik arról, hogy a Windows minden egyes újraindulásakor automatikusan betöltődhessen, majd rendszerfolyamatok mögé rejtőzve tudja végezni a kártékony tevékenységét. A trójai nem teszi használhatatlanná a fertőzött rendszerfájlokat, sőt azokból egy-egy biztonsági másolatot is készít, ami megkönnyítheti a vírusirtást. A trójai a regisztrációs adatbázis módosítását követően előre meghatározott weboldalakról konfigurációs állományokat tölt le. Ezek felhasználásával felbukkanó ablakokban különböző reklámokat jelenít meg, ami igencsak bosszantó tud lenni.
Amikor a Proscks.B trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%System%\_AdPlus.dll
%System%\AdPlus.dll - Megfertőzi az alábbi állományokat, amelynek hatására a Windows minden egyes újraindulásakor automatikusan betöltődhet:
%ProgramFiles%\Internet Explorer/iexplore.exe
%System%\taskmgr.exe
%System%\svchost.exe
Az eredeti fájlokból készít egy biztonsági másolatot, amelyeket “.exc” kiterjesztéssel lát el. - A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ Session Manager\
“PendingFileRenameOperations” =
“\??\%System%\taskmgr.exc\00\00\??\%Program Files%\
Internet Explorer\iexplore.exc\00\00\??\%System%\svchost.exc\00\00\??\
%System%\taskmgr.exc\00\
00\??\%Program Files%\Internet Explorer\iexplore.exc\00\ 00\??\
%System%\svchost.exc\00\00\00″ - Előre meghatározott weboldalakról konfigurációs állományokat tölt le, amelyeket az alábbiak szerint ment el:
%System%\win386.vxd
%System%\lz32.sys - Reklámokat jelenít meg felbukkanó ablakokban.
