A FakeAV trójai legújabb, "EAQ" nevű variánsa egy hamis védelmi alkalmazást telepít fel a kiszemelt rendszerekre. Ennek neve ezúttal: Total PC Defender. Ez a program - a korábbról már jól ismert ál-antivírusokhoz hasonlóan - minden alapot nélkülöző, hamis riasztásokat generál egy rögtönzött víruskeresés során. Ezáltal különféle férgekkel és trójai programokkal valamint adatvesztéssel rémisztgeti a felhasználókat. Amikor befejezi a látszólagos rendszerellenőrzést, akkor felkínálja a - nem is létező - kártékony programok eltávolítását. Azonban mielőtt ezt megtenné, egy olyan licenckódot kér a felhasználótól, amihez az interneten keresztül 80 dollárért lehet hozzájutni
Az Isidor Biztonsági Központ szerint a trójai számos parancsikont hoz létre a rendszerben, amelyek mindegyike a kártevő állományára mutat. Ezt követően módosítja a regisztrációs adatbázist, aminek hatására egyes rendszerösszetevők, például a Windows Feladatkezelője elérhetetlenné válik.
Amikor a Fakeav.EAQ trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő könyvtárakat:
%Program Files%\Total PC Defender
C:\Documents and Settings\[felhasználónév]\Start Menu\Total PC Defender
2. Létrehozza az alábbi állományokat:
%Program Files%\Total PC Defender\Total PC Defender.exe
C:\Documents and Settings\[felhasználónév]\Application Data\Microsoft\Internet Explorer\Quick Launch\Total PC Defender.lnk
C:\Documents and Settings\\Desktop\Total PC Defender.lnk
C:\Documents and Settings\[felhasználónév]\Start Menu\
Total PC Defender\Total PC Defender.lnk
3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Total PC Defender = "%Program Files%\Total PC Defender\Total PC Defender.exe"
4. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\SystemDisableTaskMgr = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\ Policies\System\DisableTaskMgr = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UACDisableNotify = "0"\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DisableCAD = "1"
4 hozzászólás
Sziasztok! Sajnos egyik kollegám gépére is "sikeresen" telepítette magát ez a "fantasztikus" program. Kérdésem az lenne, hogy hogy a csudába tudom leírtanI Mert a programok hozzáférhetősege és alapértelmezései menüpontban nem hagyja magát eltávolítani. És a gépen is csak úgy hagy bármit is használni, ha előbb feladatkezelőben kilövöm... Persze azt mondanom se kell, hogy hiába állítottam be, hogy ne induljon automatikusan a windows bekapcsolásakor... :s
Sziasztok, detto. Én is csak a feladatkezelőbe tudom kilőni,de újra és újra visszajön. Már a hajam tépem...:(
feladatkezelőbe lődd ki újra,és meny a program files mappába,kersed meg az exét,nevezd át,és indítsd újra!Ezután már ha minden igaz kilehet törölni!De itt egy videó,ez talán jobban segít! http://www.youtube.com/watch?v=dxJt92WTv_0&feature=related
Köszönöm Roland!