Továbbra sem száll le az Explorerről a Startpage trójai

1
Kristóf Csaba
2012. január 19., 08:55
Nyomtatás
A Startpage.SH trójai az Internet Explorer kezdőoldalának módosításával kártékony weboldalak megjelenítésére és ártalmas program terjesztésére törekszik.

A webböngészők kezdőoldalának kártékony programok általi manipulálása már régi technikának számít, ugyanakkor még napjainkban is viszonylag gyakran lehet találkozni olyan számítógépes károkozókkal, amelyek a böngészők beállításainak módosításával érik el a céljukat. Ezek közé tartozik a régóta ismert Startpage trójai, amelynek legújabb, "SH" betűjelű variánsa is szembetűnő változtatásokra képes.

Az Isidor Biztonsági Központ közleménye kitér arra, hogy a Startpage.SH a Windows Asztalon elhelyez egy, az Internet Explorer eredeti parancsikonjára megszólalásig hasonlító ikont. Ezzel próbálja megtéveszteni a felhasználót, és rávenni arra, hogy egy fertőzött fájlt indítson el. A trójai a regisztrációs adatbázis módosításával elrejti az ismert fájlokhoz tartozó kiterjesztéseket, valamint megváltoztatja az Internet Explorer proxy beállításait és a böngésző kezdőoldalát.

A Startpage.SH trójai a Program Files könyvtárba általa létrehozott "Internat Explorar" mappába másolja be a saját fájljait.

Amikor a Startpage.SH trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő könyvtárat:
%ProgramFiles%/Microsoft/Internat Explorar/

2. Létrehozza az alábbi állományokat:
%ProgramFiles%/Microsoft/Internat Explorar/desktop.ini
%ProgramFiles%/Microsoft/Internat Explorar/target.lnk
%ALLUSERSPROFILE%/Desktop/Internat Explorar.oc

3. A Windows Asztalon megjelenít egy olyan parancsikont, amely nagyon hasonlít a böngésző eredeti ikonjára.

4. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKLM/SOFTWARE/Classes/.oc/(default)="ocfile"
HKLM/SOFTWARE/Classes/ocfile/DefaultIcon/(default)="%1"
HKLM/SOFTWARE/Classes/ocfile/shell/open/command/(default)="explorer "%ProgramFiles%/Microsoft/Internat Explorar""

5. A regisztrációs adatbázisban manipulálja az alábbi értékeket:
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/ShellFolder/Attributes="3"

6. Elrejti az ismert fájlok kiterjesztéseit a következők szerint:
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/HideFileExt="1"

7. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings/ZoneMap/ProxyBypass="1"

8. Megváltoztatja az Internet Explorer beállításaiban megadott kezdőoldal címét.

 

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.