A Sahat reklámprogram sok módosítást hajt végre az érintett rendszereken. Számos fájl létrehozása után nekilát a regisztrációs adatbázis módosításának, melynek során új kulcsokat és értékeket hoz létre. Mindezek révén képessé válik a hálózati adatforgalom folyamatos monitorozására, megfigyelésére.
Az Isidor Biztonsági Központ jelentése felhívja a figyelmet arra, hogy a Sahat elsősorban a webes keresők lekérdezései iránt mutat fokozott kíváncsiságot, ugyanis az így begyűjtött információk alapján jelenít meg különféle weboldalakat. Emellett a Google Chrome alkalmazáshoz feltelepít egy ShopAtHome nevű kiegészítőt, melynek révén esetenként felnőtteknek szóló tartalmakat tölt be a webböngészőbe.
A reklámprogram elsősorban kártékony weboldalakról kerülhet fel a számítógépekre.
Amikor a Sahat reklámprogram elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Windows%/Downloaded Program Files/lsp_.dll
%Windows%/Downloaded Program Files/SAHAgent_.exe
%Windows%/Downloaded Program Files/SAHDownloader_.exe
%Windows%/Downloaded Program Files/SahHtml_.exe
%Windows%/Downloaded Program Files/SAHUninstall_.exe
%Windows%/Downloaded Program Files/setup.inf
%Windows%/Downloaded Program Files/sporder.dll
%Windows%/Downloaded Program Files/sporder_.dll
%Windows%/Downloaded Program Files/WEBInstaller.dll
%Windows%/Downloaded Program Files/xmlparse_.dll
%Windows%/Downloaded Program Files/xmltok_.dll
%Windows%/SAHUninstall.exe
%System%/lsp.dll
%System%/SahAgent.exe
%System%/SahDownloader.exe
%System%/SahHtml.exe
%System%/xmlparse.dll
%System%/xmltok.dll
2. A rendszermeghajtó gyökérkönyvtárába és a Windows rendszerkönyvtárába bemásolja az alábbi fájlokat:
%System Root%/SahAgent.log
%System%/v.dat
%System%/vg.dat
3. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/SAHAgent = "%System%/SahAgent.exe"
4. A regisztrációs adatbázis alábbi kulcsait új bejegyzésekkel egészíti ki:
HKEY_LOCAL_MACHINE/SOFTWARE/VGroup/SAHAgent/
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/WEBInstaller.execute/
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/WEBInstaller.execute/CLSID/
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/WEBInstaller.execute/CurVer/
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{30402FF4-3E71-4A1C-9B4B-1CD3486A9FB2}/
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/TypeLib/{CDE442A3-DC2C-467E-A311-B4BC775D86C5}/1.1/
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Uninstall/ShopAtHomeSelect Agent/
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/WinSock2/Parameters/Protocol_Catalog9/Catalog_Entries/[...]/
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/WEBInstaller.execute.1
HKEY_CLASSES_ROOT/CLSID/{30402FF4-3E71-4A1C-9B4B-1CD3486A9FB2}
5. A regisztrációs adatbázisban létrehozza a következő kulcsokat:
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Interface/{4828C95F-C5DB-4AB6-A945-8D8EC44B98A8}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Interface/{4E570F74-DEEE-4FCF-B960-FEEFA4B8C6FC}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/TypeLib/{CDE442A3-DC2C-467E-A311-B4BC775D86C5}
6. Egy LSP (Layered Service Provider) felhasználásával folyamatosan monitorozza a hálózati adatforgalmat.
7. Webes átirányításokat hajt végre annak függvényében, hogy a felhasználó a webes keresőkben éppen milyen kifejezések után érdeklődik.
8. A Chrome böngészőhöz egy ShopAtHome kiegészítőt ad hozzá.
9. A webböngészőben különféle weboldalakat tölt be, és felnőtteknek szóló tartalmakat jelenít meg.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.