Keresőszolgáltatásnak álcázott reklámprogram

1
Kristóf Csaba
2011. december 9., 08:50
Nyomtatás
Egy Windows-os keresőszolgáltatásnak álcázza magát az a reklámprogram, amely rendszeresen bosszantó hirdetéseket jelenít meg.

A MicrowinSearch reklámprogram a Windows operációs rendszer esetében olyan módosításokat hajt végre, amelyek révén egy szolgáltatás formájában, a háttérben folyamatosan képes monitorozni a hálózati adatforgalmat. A nemkívánatos program egy Windows keresőszoftvernek valamint egy alkalmazásmenedzsmentet végző szolgáltatásnak álcázza magát. Természetesen arról is gondoskodik, hogy a Windows minden egyes újraindításakor automatikusan betöltődjön.

Az Isidor Biztonsági Központ közleménye szerint a MicrowinSearch alapvetően kétféle módon képes a felhasználókat különböző weboldalakra csalni. Egyrészt a webes keresőkben megjelenő találati eredményeket manipulálja, másrészt rendszeresen felbukkanó reklámablakokat jelenít meg.

Amikor a MicrowinSearch reklámprogram elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%SYSTEM%/WindowServiceNT.exe

2. A regisztrációs adatbázisban létrehozza az alábbi értékeket:
HKLM/SYSTEM/CurrentControlSet/Services/ApplicationSpecialManagement/Start="dword:00000002"
HKLM/SYSTEM/CurrentControlSet/Services/ApplicationSpecialManagement/Type="dword:00000010"
HKLM/SYSTEM/CurrentControlSet/Services/ApplicationSpecialManagement/DisplayName="Application Special Management"
HKLM/SYSTEM/CurrentControlSet/Services/ApplicationSpecialManagement/ObjectName="LocalSystem"

3. Csatlakozik egy előre meghatározott távoli szerverhez, amelyről fájlokat tölt le. Az állományokat a következők szerint menti le:
%SYSTEM%/MicrowindowSearch/MicrowindowSearch.exe
%SYSTEM%/MicrowindowSearch/MicrowindowSearch.dat

4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/MicrowindowSearch="%SYSTEM%/microwindowsearch/microwindowsearch.exe"

5. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKCU/Software/AppDataLow/MicrowindowSearch/ActiveDate="[telepítés dátuma]"
HKCU/Software/AppDataLow/MicrowindowSearch/UpdateTime="[telepítés dátuma]"
HKCU/Software/AppDataLow/MicrowindowSearch/partnerID="MicrowindowSearch_ [...]"

6, Interneten keresztül jelzi a támadói felé a fertőzés sikerességét.

7. Manipulálja a webes keresőkben megjelenő találati eredményeket, és rendszeresen felbukkanó reklámablakokat jelenít meg.

 

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.