Weblapokat pezsdít fel az AdClicker

Az AdClicker.MJ trójai kifejezetten az Internet Explorer módosítgatására képes. A kártékony program a regisztrációs adatbázis manipulálásával próbálja elérni, hogy a webböngészőben megjelenő weblapok különféle felnőtteknek szóló képekkel, reklámokkal egészüljenek ki. A kártevő különös figyelmet fordít a Google weboldalainak helyi szinten történő módosítására.

Az AdClicker.MJ legnagyobb veszélye, hogy amíg a böngészőben megjelenő weblapok módosítgatásával eltereli a felhasználó figyelmét, addig a háttérben kártékony programokat töltöget le, és telepít. Ezzel további kockázatoknak teszi ki a fertőzött PC-ket, és jelentősen képes megnehezíteni a vírusmentesítést.

Amikor az AdClicker.MJ trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehoz egy BHO objektumot az Internet Explorerhez a következő bejegyzés regisztrációs adatbázisban történő elhelyezésével:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DE6532E2-FD43-4DFB-9108-14140DBAB88C}\@ = "tprlibP"

2. A következők szerint módosítja a regisztrációs adatbázist:
HKCR\AppID\tprlib.DLL\AppID="{E82CA17E-0C70-4F8C-AD15-5C00B3229DE5}"
HKCR\AppID\{E82CA17E-0C70-4F8C-AD15-5C00B3229DE5}\@ = "tprlib"
HKCR\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC}\{070E2C5C-40D8-4A0A-9F39-9C642B5662DA}
HKCR\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC}\{E4BF93C1-D1E0-422E-82C1-8338FE72BA0B}
HKCR\CLSID\{44D67555-2D4E-4227-AB49-E509D025C487}\@ = "[véletlenszerű karakterek] Class"
HKCR\CLSID\{44D67555-2D4E-4227-AB49-E509D025C487}\InprocServer32\@ = ""
HKCR\[véletlenszerű karakterek]\@ = "tprlibA Class"
HKCR\[véletlenszerű karakterek]\@ = "tprlibB Class"
HKCR\[véletlenszerű karakterek]\CLSID\@ = "{44D67555-2D4E-4227-AB49-E509D025C487}"
HKCR\[véletlenszerű karakterek]\CLSID\@ = "{DE6532E2-FD43-4DFB-9108-14140DBAB88C}"
HKCR\CLSID\{A60B986B-4FED-44F4-A830-47CE85A85E88}\@ = "PSFactoryBuffer"
HKCR\CLSID\{A60B986B-4FED-44F4-A830-47CE85A85E88}\InProcServer32\@ = "[a trójai elérési útvonala]"
HKCR\CLSID\{DE6532E2-FD43-4DFB-9108-14140DBAB88C}\@ = "Streaming Video Extension"
HKCR\CLSID\{DE6532E2-FD43-4DFB-9108-14140DBAB88C}\AppID = "{E82CA17E-0C70-4F8C-AD15-5C00B3229DE5}"
HKCR\CLSID\{DE6532E2-FD43-4DFB-9108-14140DBAB88C}\InprocServer32\@ = "[a trójai elérési útvonala]"
HKCR\CLSID\{DE6532E2-FD43-4DFB-9108-14140DBAB88C}\ProgID\@ = "tprlib.AClass.1"
HKCR\CLSID\{DE6532E2-FD43-4DFB-9108-14140DBAB88C}\TypeLib\@ = "{F31776F2-6138-4179-B062-6C00E71589F7}"

3. Az Interneten keresztül letölt egy programot, amelyet le is futtat. Ez az állomány egy Silly vagy egy Droplet kártevőt tartalmaz.

4. Az Internet Explorerben megjelenő összes weblap aljára egy IFRAME keretet helyez el, amelyben felnőtteknek szóló képeket jelenít meg.

5.Módosítja a Google weboldalának megjelenítését, és azon különféle felnőtteknek szóló weblapokra vagy videókra mutató hivatkozásokat tesz közzé.