A Hexzone trójai célja, hogy minél több reklámot jelenítsen meg az Internet Explorer webböngészőben.

Hexzone trójai a regisztrációs adatbázisban számos bejegyzést hoz létre. Ezzel elsősorban azt próbálja elérni, hogy az Internet Explorerben különféle reklámokat tudjon megjeleníteni. A trójai egy BHO objektumot is beregisztrál, amelynek révén képes a hirdetéseket az előre meghatározott feltételek szerint a felhasználó elé tárni. A kártékony program az Interneten keresztül különböző állományokat tölt le, majd arról is gondoskodik, hogy a saját fájljait is frissítse. Ezáltal a trójai funkcionalitása és tulajdonságai rendszeresen változhatnak, ami a felismerését, illetve az eltávolítását is megnehezítheti.

Vírushíradó - Hexzone trójai reklámozás Explorerben

Amikor a Hexzone trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlt:
    %System%\qlplib.dll
  2. A regisztrációs adatbázishoz hozzáfűzi az alábbi kulcsokat:
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\qlplib.DLL
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\
    {B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
    {1408E208-2AC1-42D3-9F10-78A5B36E05AC}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
    {143537BB-C1AD-456A-927A-CF7B5F1D12AE}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
    {D82C6C8A-3561-4A19-A128-F42ED5C15D45}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
    {FBC65A12-7967-4E53-B852-D6BCE504827A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
    {06C867BE-5BDA-4AE6-9A83-B55436397E8A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
    {FBC65A12-7967-4E53-B852-D6BCE504827A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
    {38E94D22-304B-46F1-AFB9-94D1C5EE8771}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xvideoplugin.JetMimeFiltr.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xvideoplugin.JetVideoPlugin.1
  3. A regisztrációs adatbázisban létrehozza a következő értékeket:
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\
    qlplib.DLL”AppID” = “{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}”
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\
    {B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}”” = “qlplib”
  4. Egy BHO objektumot regisztrál az Internet Explorerhez a regisztrációs adatbázis alábbiak szerinti módosításával:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Explorer\Browser Helper Objects\{143537BB-C1AD-456A-927A-CF7B5F1D12AE}
  5. Az Internet Explorerben reklámokat jelenít meg.
  6. Az Interneten keresztül különböző kártékony állományokat tölt le, majd frissíti saját magát.