A Onescan hamis víruskereső számos formában jelenhet meg a fertőzött számítógépeken. Az egyes variánsainak megfelelően változtatja az általa feltelepített haszontalan alkalmazás nevét, és egyes esetekben annak felhasználói felületét. A célja azonban mindig ugyanaz: a felhasználók megtévesztése és a terjesztőinek pénzhez juttatása.
Az Isidor Biztonsági Központ szerint a Onescan - a hasonló nemkívánatos programoktól megszokott módon - egy víruskeresést szimulál, majd alaptalan riasztásokat jelenít meg. Eközben megpróbálja rávenni a felhasználót, hogy vásárolja meg a szoftver teljes értékű változatát.
A Onescan esetenként csatlakozik előre meghatározott távoli szerverekhez, és értesíti a terjesztőit a fertőzés tényéről.
Amikor a Onescan hamis víruskereső elindul, akkor az alábbi műveleteket hajtja végre:
1. A Program Files könyvtárába létrehoz egy új mappát. Ennek neve attól függ, hogy éppen milyen néven települ a rendszerre a károkozó.
2. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/[a hamis víruskereső aktuális neve]="%ProgramFiles%/[a hamis víruskereső aktuális neve]/[a károkozó aktuális neve]u.exe /81"
3. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKLM/SOFTWARE/[a hamis víruskereső aktuális neve]/code1="[véletlenszerű karakterek]"
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Uninstall/[a hamis víruskereső aktuális neve]/DisplayName="[a hamis víruskereső aktuális neve]"
4. Hamis vírusriasztásokat jelenít meg.
5. Csatlakozik egy előre meghatározott távoli weboldalhoz.
6. Internet Explorerben megadott két speciális URL, illetve HTTP-üzenet formájában értesíti a terjesztőit a fertőzés tényéről.
7. Megpróbálja rávenni a felhasználót, hogy vásárolja meg a teljes értékű szoftververziót.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.