A hamis antivírus-alkalmazásokat telepítő, és a felhasználókat megtévesztő FakeAV trójai ezúttal egy XP Police Antivirus nevű alkalmazás révén próbálja pénzhez juttatni terjesztőit.

A FakeAV.ABP trójai — hasonlóan az eddig felbukkant variánsaihoz — megtévesztő módon próbál pénzt szerezni. A számítógépre egy hamis antivírus-alkalmazást telepít, melynek neve ez esetben XP Police Antivirus. Ezt a szoftvert automatikusan elindítja, és számos hamis vírusriasztást generál. Azért, hogy még “hitelesebben” tudja végezni a feladatát, egy olyan ablakot is megjelenít, amely a Windows Biztonsági Központjához megszólalásig hasonlít, csak éppen ezen is számos alaptalan üzenet olvasható. A trójai azt próbálja elhitetni a felhasználóval, hogy ha megvásárolja a víruskeresőt, akkor el tudja távolítani a számítógépről a kártékony programot. Persze ez a valóságban nem igaz.

Vírushíradó - XP Police Antivirus a hamis víruskereső

Vírushíradó - XP Police Antivirus a hamis víruskereső

A trójai számos módosítást végez a fájlrendszerben, a regisztrációs adatbázisban, valamint a Start Menüben is. Mindezek mellett képes a Windows beépített tűzfalának hatástalanítására, valamint a Feladatkezelő és a regisztrációs adatbázis szerkesztőjének elérhetetlenné tételére.

Amikor a FakeAV.ABP trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %Program Files%\XPPoliceAntivirus
    %Program Files%\XPPoliceAntivirus\Plugins
    %Program Files%\XPPoliceAntivirus\sounds
    %Documents and Settings%\[felhasználónév]\protect.dll
    %Documents and Settings%\[felhasználónév]\Local Settings\Temp\msb.dll
    %Program Files%\XPPoliceAntivirus\iehost.dll
    %Program Files%\XPPoliceAntivirus\protect.dll
    %Program Files%\XPPoliceAntivirus\setup.dat
    %Program Files%\XPPoliceAntivirus\xppolice.exe
  2. Új parancsikonokat hoz létre a Start menüben.
    %Documents and Settings%\[felhasználónév]\Desktop\XP Police Antivirus.LNK
    %Documents and Settings%\[felhasználónév]\Start Menu\XP Police Antivirus.LNK
  3. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
    HKCU\Software\XP Police Antivirus
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\autochk =
    “rundll32.exe %Documents and Settings%\\protect.dll,_IWMPEvents@16”
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\PoliceAV =
    “%Program Files%\XPPoliceAntivirus\xppolice.exe”
  4. Elindít egy ál-antivírus alkalmazást, melynek neve XP Police Antivirus.
  5. Hamis biztonsági riasztásokat generál.
  6. Megjelenít egy olyan ablakot, amely a Windows Biztonsági Központjára hasonlít.
  7. Különböző figyelmeztető üzeneteket jelenít meg.
  8. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
    HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify = “1”
    HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify = “1”
    HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify = “1”
  9. A regisztrációs adatbázisban létrehozza a következő értékeket:
    HKCR\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}\InprocServer32\@
    = “%Windows%\iehost.dll”
    HKLM\SOFTWARE\Classes\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}
    HKLM\SOFTWARE\Classes\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}
  10. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
    HKCU\Control Panel\don\\”t load\scui.cpl = “No”
    HKCU\Control Panel\don\\”t load\wscui.cpl = “No”
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
    DisableTaskMgr = “1”
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
    DisableRegistryTools = “1”