A hamis víruskeresők készítői is figyelik a piaci trendeket, és felismerték, hogy a víruskereső alkalmazásokat fejlesztő cégek egyre többet hangoztatják a felhőalapú technológiák előnyeit. Ezért úgy gondolták, hogy ha egy olyan kinézetű antivírust alakítanak ki, amely első ránézésre e modern technológiákat tükrözi, akkor megtévesztőbb módon tudnak a felhasználóktól pénzt kicsalni.
Az Isidor Biztonsági Központ szerint az Open Cloud AV sok olyan műveletet hajt végre, amelyek a fertőzött számítógépeket használhatatlanná tehetik. A károkozó rendszeresen újraindítja a PC-ket, megpróbálja hatástalanítani a valódi biztonsági alkalmazásokat, és gyakran alaptalan riasztásokat jelenít meg. Egyes esetekben pedig kék halálra emlékeztető képernyőkkel fogadja a felhasználót. Eközben a rendszerekről különböző weboldalakat tesz elérhetetlenné, és arra kéri a felhasználót, hogy vásárolja meg a teljes értékű verziót annak érdekében, hogy a felfedezett - a valóságban nem is létező - kártékony programok eltávolíthatóvá váljanak.
Amikor az Open Cloud AV elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%AppData%/ldr.ini
%AppData%/[véletlenszerű karakterek]Open Cloud AV.ico
%Programs%/Open Cloud AV/Open Cloud AV.lnk
%Asztal%/Open Cloud AV.lnk
2. Letölt egy ál-antivírust, és azt lementi a Windows Temp könyvtárába.
3. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/[véletlneszerű karakterek]=[véletlenszerű karakterek].exe
4. Egy Open Cloud AV alkalmazást indít el, és egy szimulált víruskeresést hajt végre.
5. Interneten keresztül további kártékony fájlokat tölt le, amelyeket a Windows Temp könyvtárába ment le.
6. Csatlakozik előre meghatározott webszerverekhez.
7. Rendszerinformációkat szivárogtat ki a terjesztői számára.
8. Leállítja a következő folyamatokat (amennyiben azok léteznek)
csrss.exe
DllHost.exe
IEUser.exe
iexplore.exe
mst.exe
SearchProtocolHost.exe
server.exe
spooler.exe
un_inst.exe
winlogon.exe
9. Különböző riasztásokat jelenít meg, és nem létező fertőzésekről számol be.
10. Egy kék halálra emlékeztető, teljes képernyős képet jelenít meg.
11. Megpróbálja hatástalanítani, adott esetben eltávolítani a következő cégek biztonsági alkalmazásait:
Microsoft (Windows Defender és Security Essentials)
Norton
Avira
AVG
E-Set
DrWeb
Kaspersky
Bitdefender
McAfee
12. Arra kéri a felhasználót, hogy vásárolja meg a teljes értékű változatot annak érdekében, hogy a feltárt fenyegetettségek eltávolíthatók legyenek.
13. Esetenként újraindítja a számítógépet.
14. A fertőzött rendszerről elérhetetlenné tesz bizonyos weboldalakat.
1 hozzászólás
Ha csak a Temp mappába matat, meg egy AutoRun bejegyzést tesz, akkor aki egy cseppet konyít a Windowshoz, annak nem vészes. Mondjuk az le se tölti. :)