Sokféle formában ölthet testet a Defmid hamis víruskereső

A hamis víruskeresők egy újabb képviselője a Defmid, amely - hasonlóan az elődjeihez - különböző biztonsági riasztásokat jelenít meg olyan kártékony programokkal kapcsolatban, amelyek az adott számítógépen nem is léteznek. Ezzel próbál félelmet, aggodalmat kelteni a felhasználókban, és arra ösztökélni őket, hogy vásároljanak meg egy olyan programot, amely képes megtisztítani a számítógépeket (a nem is létező) károkozóktól.

Az Isidor Biztonsági Központ közleménye szerint a Defmid készítői számos felhasználói felülettel ruházták fel a kártékony programjukat, amely ezáltal különféle formákban ölthet testet a számítógépeken. A hamis víruskereső az alábbi nevek valamelyikével kerülhet fel a rendszerekre:
Security Central
Internet Protection
Internet Defender 2011
Security Defender 2011
System Defender
Antivirus Center
Antivirus Pro
Antivirus Center
Antimalware Tool

Amikor a Defmid elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%ProgramFiles%/System Defender/System Defender.dll

2. A fertőzött rendszereken az %AppData% könyvtárba véletlenszerűen generált névvel ellátott fájlokat másol be .avi, .ico vagy .mkv kiterjesztésekkel.

3. Létrehozza a következő fájlt:
%TEMP%/wrk[véletlenszerű karakterek].tmp

4. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKCU/Software/Microsoft/Windows/CurrentVersion/Run/[véletlenszerű karakterek].avi

5. Létrehoz egy parancsikont, amely a következő fájlra mutat:
%ProgramFiles%/System Defender/System Defender.dll

6. Egy víruskeresést szimulál.

7. Hamis biztonsági riasztásokat jelenít meg.

8. Megpróbál beépülni a Windows Biztonsági Központba.

9. Weboldalak megnyitásakor hamis riasztásokat generál.

10. Interneten keresztül további ártalmas fájlokat tölt le.

11. Megkísérli hatástalanítani a Windows beépített tűzfalát.

12. A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKLM/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/%System%/rundll32.exe/"%System%/rundll32.exe*:Enabled:System Defender"