Vírushíradó – Hexzone trójai: reklámozás Explorerben

A Hexzone trójai célja, hogy minél több reklámot jelenítsen meg az Internet Explorer webböngészőben.

A Hexzone trójai a regisztrációs adatbázisban számos bejegyzést hoz létre. Ezzel elsősorban azt próbálja elérni, hogy az Internet Explorerben különféle reklámokat tudjon megjeleníteni. A trójai egy BHO objektumot is beregisztrál, amelynek révén képes a hirdetéseket az előre meghatározott feltételek szerint a felhasználó elé tárni. A kártékony program az Interneten keresztül különböző állományokat tölt le, majd arról is gondoskodik, hogy a saját fájljait is frissítse. Ezáltal a trójai funkcionalitása és tulajdonságai rendszeresen változhatnak, ami a felismerését, illetve az eltávolítását is megnehezítheti.

Amikor a Hexzone trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
   %System%\qlplib.dll
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi kulcsokat:
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\qlplib.DLL
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\
   {B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
   {1408E208-2AC1-42D3-9F10-78A5B36E05AC}
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
   {143537BB-C1AD-456A-927A-CF7B5F1D12AE}
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
   {D82C6C8A-3561-4A19-A128-F42ED5C15D45}
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
   {FBC65A12-7967-4E53-B852-D6BCE504827A}
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
   {06C867BE-5BDA-4AE6-9A83-B55436397E8A}
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
   {FBC65A12-7967-4E53-B852-D6BCE504827A}
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
   {38E94D22-304B-46F1-AFB9-94D1C5EE8771}
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr.1
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin.1
3. A regisztrációs adatbázisban létrehozza a következő értékeket:
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\
   qlplib.DLL”AppID” = “{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}”
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\
   {B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}”” = “qlplib”
4. Egy BHO objektumot regisztrál az Internet Explorerhez a regisztrációs adatbázis alábbiak szerinti módosításával:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Explorer\Browser Helper Objects\{143537BB-C1AD-456A-927A-CF7B5F1D12AE}
5. Az Internet Explorerben reklámokat jelenít meg.
6. Az Interneten keresztül különböző kártékony állományokat tölt le, majd frissíti saját magát.