A Proscks.B trójai elsősorban reklámok megjelenítésével bosszantja a fertőzött számítógépek tulajdonosait.

A Proscks.B trójai rendszerfájlok megfertőzésével gondoskodik arról, hogy a Windows minden egyes újraindulásakor automatikusan betöltődhessen, majd rendszerfolyamatok mögé rejtőzve tudja végezni a kártékony tevékenységét. A trójai nem teszi használhatatlanná a fertőzött rendszerfájlokat, sőt azokból egy-egy biztonsági másolatot is készít, ami megkönnyítheti a vírusirtást. A trójai a regisztrációs adatbázis módosítását követően előre meghatározott weboldalakról konfigurációs állományokat tölt le. Ezek felhasználásával felbukkanó ablakokban különböző reklámokat jelenít meg, ami igencsak bosszantó tud lenni.

Reklámokból él a Proscks.B trójai

Amikor a Proscks.B trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %System%\_AdPlus.dll
    %System%\AdPlus.dll
  2. Megfertőzi az alábbi állományokat, amelynek hatására a Windows minden egyes újraindulásakor automatikusan betöltődhet:
    %ProgramFiles%\Internet Explorer/iexplore.exe
    %System%\taskmgr.exe
    %System%\svchost.exe
    Az eredeti fájlokból készít egy biztonsági másolatot, amelyeket “.exc” kiterjesztéssel lát el.
  3. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ Session Manager\
    “PendingFileRenameOperations” =
    “\??\%System%\taskmgr.exc\00\00\??\%Program Files%\
    Internet Explorer\iexplore.exc\00\00\??\%System%\svchost.exc\00\00\??\
    %System%\taskmgr.exc\00\
    00\??\%Program Files%\Internet Explorer\iexplore.exc\00\ 00\??\
    %System%\svchost.exc\00\00\00″
  4. Előre meghatározott weboldalakról konfigurációs állományokat tölt le, amelyeket az alábbiak szerint ment el:
    %System%\win386.vxd
    %System%\lz32.sys
  5. Reklámokat jelenít meg felbukkanó ablakokban.