Vírushíradó – Hexzone trójai: reklámozás Explorerben
A Hexzone trójai célja, hogy minél több reklámot jelenítsen meg az Internet Explorer webböngészőben.
A Hexzone trójai a regisztrációs adatbázisban számos bejegyzést hoz létre. Ezzel elsősorban azt próbálja elérni, hogy az Internet Explorerben különféle reklámokat tudjon megjeleníteni. A trójai egy BHO objektumot is beregisztrál, amelynek révén képes a hirdetéseket az előre meghatározott feltételek szerint a felhasználó elé tárni. A kártékony program az Interneten keresztül különböző állományokat tölt le, majd arról is gondoskodik, hogy a saját fájljait is frissítse. Ezáltal a trójai funkcionalitása és tulajdonságai rendszeresen változhatnak, ami a felismerését, illetve az eltávolítását is megnehezítheti.
Amikor a Hexzone trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlt:
%System%\qlplib.dll - A regisztrációs adatbázishoz hozzáfűzi az alábbi kulcsokat:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\qlplib.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\
{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{1408E208-2AC1-42D3-9F10-78A5B36E05AC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{143537BB-C1AD-456A-927A-CF7B5F1D12AE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{D82C6C8A-3561-4A19-A128-F42ED5C15D45}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{FBC65A12-7967-4E53-B852-D6BCE504827A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
{06C867BE-5BDA-4AE6-9A83-B55436397E8A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
{FBC65A12-7967-4E53-B852-D6BCE504827A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{38E94D22-304B-46F1-AFB9-94D1C5EE8771}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin.1 - A regisztrációs adatbázisban létrehozza a következő értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\
qlplib.DLL”AppID” = “{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\
{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}”” = “qlplib” - Egy BHO objektumot regisztrál az Internet Explorerhez a regisztrációs adatbázis alábbiak szerinti módosításával:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{143537BB-C1AD-456A-927A-CF7B5F1D12AE} - Az Internet Explorerben reklámokat jelenít meg.
- Az Interneten keresztül különböző kártékony állományokat tölt le, majd frissíti saját magát.