Böngészőkkel mesterkedik a Mozipowp trójai

1
Kristóf Csaba
2010. március 5., 08:12
Nyomtatás
A Mozipowp trójai elsősorban a Firefox felhasználóit szemelte ki magának, de egyéb böngészők esetében is képes különféle bosszantó műveleteket végrehajtani.

A Mozipowp trójai a fertőzött számítógépeken néhány művelet végrehajtása után elkezdi figyelni a felhasználó webböngészővel végzett tevékenységét. Amennyiben a Firefox az aktív böngésző, akkor a legnépszerűbb webes keresők (pl. Google, Bing, Yahoo) használata során átirányításokat hajt végre különböző weblapokra.

A Mozipowp azonban nemcsak a Firefox kapcsán tud meglepetéseket okozni. A trójai ugyanis a Chrome, az Internet Explorer valamint az Opera segítségével folytatott internetezést is folyamatosan figyelemmel kíséri, és - a böngésző fejlécében megjelenő oldalnevek alapján - felbukkanó ablakokban reklámokat jelenít meg.

Az Isidor Biztonsági Központ szerint a trójai megfertőzi az explorer.exe folyamatot, így a Windows Feladatkezelőjében nem látható. Ezért a trójai jelenétére leginkább a pop-up ablakok valamint a webes keresők furcsa viselkedése utalhat.

Amikor a Mozipowp trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%UserProfile%\Application Data\SystemProc\lsass.exe
%ProgramFiles%\Mozilla Firefox\extensions\[...]\chrome.manifest
%ProgramFiles%\Mozilla Firefox\extensions\[...]\chrome\content\timer.xul
%ProgramFiles%\Mozilla Firefox\extensions\[...]\install.rdf
%SystemDrive%\confin.sys

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"RTHDBPL" = "%UserProfile%\Application Data\SystemProc\lsass.exe\[...]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"RTHDBPL" = "%UserProfile%\Application Data\SystemProc\lsass.exe\[...]"

3. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_CURRENT_USER\Identities\"Curr version"
HKEY_CURRENT_USER\Identities\"Inst Date"
HKEY_CURRENT_USER\Identities\"Last Date"
HKEY_CURRENT_USER\Identities\"Popup count"
HKEY_CURRENT_USER\Identities\"Popup date"
HKEY_CURRENT_USER\Identities\"Popup time"

4, Amennyiben a felhasználó Firefox-ban olyan weboldalt nyit meg, amelynek címe tartalmazza az alábbi karaktersorozatok valamelyikét, akkor egy átirányítást végez:
aol.com/aol/search?s_it
ask.com
bing.com
google.com
search
yahoo.com

5. Megfertőzi az explorer.exe állományt.

6. Interneten keresztül letölti a saját frissítéseit.

7. Interneten keresztül csatlakozik előre meghatározott weboldalakhoz.

8. Folyamatosan figyelemmel kíséri az alábbi böngészőkben zajló internetezést:
Google Chrome
Internet Explorer
Firefox
Opera

9. A böngésző címsorában szereplő weboldalnevek alapján reklámokat tartalmazó, felbukkanó ablakokat jelenít meg.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.