Vírushíradó – XP Police Antivirus: a hamis víruskereső

A hamis antivírus-alkalmazásokat telepítő, és a felhasználókat megtévesztő FakeAV trójai ezúttal egy XP Police Antivirus nevű alkalmazás révén próbálja pénzhez juttatni terjesztőit.

A FakeAV.ABP trójai — hasonlóan az eddig felbukkant variánsaihoz — megtévesztő módon próbál pénzt szerezni. A számítógépre egy hamis antivírus-alkalmazást telepít, melynek neve ez esetben XP Police Antivirus. Ezt a szoftvert automatikusan elindítja, és számos hamis vírusriasztást generál. Azért, hogy még “hitelesebben” tudja végezni a feladatát, egy olyan ablakot is megjelenít, amely a Windows Biztonsági Központjához megszólalásig hasonlít, csak éppen ezen is számos alaptalan üzenet olvasható. A trójai azt próbálja elhitetni a felhasználóval, hogy ha megvásárolja a víruskeresőt, akkor el tudja távolítani a számítógépről a kártékony programot. Persze ez a valóságban nem igaz.

A trójai számos módosítást végez a fájlrendszerben, a regisztrációs adatbázisban, valamint a Start Menüben is. Mindezek mellett képes a Windows beépített tűzfalának hatástalanítására, valamint a Feladatkezelő és a regisztrációs adatbázis szerkesztőjének elérhetetlenné tételére.

Amikor a FakeAV.ABP trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   %Program Files%\XPPoliceAntivirus
   %Program Files%\XPPoliceAntivirus\Plugins
   %Program Files%\XPPoliceAntivirus\sounds
   %Documents and Settings%\[felhasználónév]\protect.dll
   %Documents and Settings%\[felhasználónév]\Local Settings\Temp\msb.dll
   %Program Files%\XPPoliceAntivirus\iehost.dll
   %Program Files%\XPPoliceAntivirus\protect.dll
   %Program Files%\XPPoliceAntivirus\setup.dat
   %Program Files%\XPPoliceAntivirus\xppolice.exe
2. Új parancsikonokat hoz létre a Start menüben.
   %Documents and Settings%\[felhasználónév]\Desktop\XP Police Antivirus.LNK
   %Documents and Settings%\[felhasználónév]\Start Menu\XP Police Antivirus.LNK
3. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
   HKCU\Software\XP Police Antivirus
   HKCU\Software\Microsoft\Windows\CurrentVersion\Run\autochk =
   “rundll32.exe %Documents and Settings%\\protect.dll,_IWMPEvents@16”
   HKCU\Software\Microsoft\Windows\CurrentVersion\Run\PoliceAV =
   “%Program Files%\XPPoliceAntivirus\xppolice.exe”
4. Elindít egy ál-antivírus alkalmazást, melynek neve XP Police Antivirus.
5. Hamis biztonsági riasztásokat generál.
6. Megjelenít egy olyan ablakot, amely a Windows Biztonsági Központjára hasonlít.
7. Különböző figyelmeztető üzeneteket jelenít meg.
8. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
   HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify = “1”
   HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify = “1”
   HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify = “1”
9. A regisztrációs adatbázisban létrehozza a következő értékeket:
   HKCR\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}\InprocServer32\@
   = “%Windows%\iehost.dll”
   HKLM\SOFTWARE\Classes\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}
   HKLM\SOFTWARE\Classes\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}
10. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
    HKCU\Control Panel\don\\”t load\scui.cpl = “No”
    HKCU\Control Panel\don\\”t load\wscui.cpl = “No”
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
    DisableTaskMgr = “1”
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
    DisableRegistryTools = “1”