A hamis antivírus-alkalmazásokat telepítő, és a felhasználókat megtévesztő FakeAV trójai ezúttal egy XP Police Antivirus nevű alkalmazás révén próbálja pénzhez juttatni terjesztőit.
A FakeAV.ABP trójai — hasonlóan az eddig felbukkant variánsaihoz — megtévesztő módon próbál pénzt szerezni. A számítógépre egy hamis antivírus-alkalmazást telepít, melynek neve ez esetben XP Police Antivirus. Ezt a szoftvert automatikusan elindítja, és számos hamis vírusriasztást generál. Azért, hogy még “hitelesebben” tudja végezni a feladatát, egy olyan ablakot is megjelenít, amely a Windows Biztonsági Központjához megszólalásig hasonlít, csak éppen ezen is számos alaptalan üzenet olvasható. A trójai azt próbálja elhitetni a felhasználóval, hogy ha megvásárolja a víruskeresőt, akkor el tudja távolítani a számítógépről a kártékony programot. Persze ez a valóságban nem igaz.
A trójai számos módosítást végez a fájlrendszerben, a regisztrációs adatbázisban, valamint a Start Menüben is. Mindezek mellett képes a Windows beépített tűzfalának hatástalanítására, valamint a Feladatkezelő és a regisztrációs adatbázis szerkesztőjének elérhetetlenné tételére.
Amikor a FakeAV.ABP trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%Program Files%\XPPoliceAntivirus
%Program Files%\XPPoliceAntivirus\Plugins
%Program Files%\XPPoliceAntivirus\sounds
%Documents and Settings%\[felhasználónév]\protect.dll
%Documents and Settings%\[felhasználónév]\Local Settings\Temp\msb.dll
%Program Files%\XPPoliceAntivirus\iehost.dll
%Program Files%\XPPoliceAntivirus\protect.dll
%Program Files%\XPPoliceAntivirus\setup.dat
%Program Files%\XPPoliceAntivirus\xppolice.exe - Új parancsikonokat hoz létre a Start menüben.
%Documents and Settings%\[felhasználónév]\Desktop\XP Police Antivirus.LNK
%Documents and Settings%\[felhasználónév]\Start Menu\XP Police Antivirus.LNK - A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKCU\Software\XP Police Antivirus
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\autochk =
“rundll32.exe %Documents and Settings%\\protect.dll,_IWMPEvents@16”
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\PoliceAV =
“%Program Files%\XPPoliceAntivirus\xppolice.exe” - Elindít egy ál-antivírus alkalmazást, melynek neve XP Police Antivirus.
- Hamis biztonsági riasztásokat generál.
- Megjelenít egy olyan ablakot, amely a Windows Biztonsági Központjára hasonlít.
- Különböző figyelmeztető üzeneteket jelenít meg.
- A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify = “1”
HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify = “1”
HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify = “1” - A regisztrációs adatbázisban létrehozza a következő értékeket:
HKCR\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}\InprocServer32\@
= “%Windows%\iehost.dll”
HKLM\SOFTWARE\Classes\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}
HKLM\SOFTWARE\Classes\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5} - A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKCU\Control Panel\don\\”t load\scui.cpl = “No”
HKCU\Control Panel\don\\”t load\wscui.cpl = “No”
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
DisableTaskMgr = “1”
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
DisableRegistryTools = “1”