Antivirus Suite

A hamis biztonsági szoftverek legújabb képviselője az Antivirus Suite nevet kapta, amely különféle trükkökkel próbálja elhitetni a felhasználóval, hogy a számítógépen rengeteg kártékony program található.
 

Az Antivirus Suite elsősorban kártékony weboldalakról kerülhet rá a számítógépekre. Megfelelő vírusvédelmi alkalmazás hiányában könnyedén feltelepül a PC-kre, majd olyan műveteket kezd végrehajtani, melyek látszólag vírusok jelenlétére utalnak. E tevékenységei közül a legszembetűnőbb az, hogy rendszeresen és meglehetősen bosszantó módon az Internet Explorerben különféle, felnőtteknek szóló tartalmakkal felvértezett weboldalakat jelenít meg. Ezzel próbálja elhitetni a felhasználóval, hogy a számítógépével valóban nincs minden rendben. Majd a Windows Tálcáján alaptalan riasztásokat jelenít meg, amelyre ha a felhasználó rákattint, akkor előbukkan az Antivirus Suite felülete. Ezen egy rögtönzött víruskeresés kezdődik, amely tucatnyi, a valóságban nem is létező kártékony program jelenlétét mutatja ki. Eltávolítani ezeket a nem valódi károkozókat nyilvánvalóan nem tudja, viszont arra kéri a fertőzött számítógép tulajdonosát, hogy vásárolja meg a program teljes értékű verzióját, amely egy csapásra megold majd minden problémát.

A hamis víruskereső további, nagyon kellemetlen tulajdonsága, hogy az EXE kiterjesztésű állományok futtatását letiltja, vagy minden egyes program betöltődése előtt arra hívja fel a felhasználó figyelmét, hogy az elindított alkalmazás fertőzött.

Az Antivirus Suite készítői látszatkeltési célból több programcsomagot is összeállítottak, így elvileg a felhasználó még válogathat is a különféle funkcionalitású víruskeresők között.


Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
Local Settings\Application Data\[véletlenszerű karakterek]/TSSD.EXE

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
%véletlenszerű karakterek% = C:\Documents and Settings\%felhasználónév%\Configuración local\Datos de programa\%véletlenszerű karakterek%TSSD.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
%véletlenszerű karakterek% C:\Documents and Settings\%véletlenszerű karakterek%\Configuración local\Datos de programa\%véletlenszerű karakterek%TSSD.EXE

2. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations LowRiskFileTypes = .exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments SaveZoneInformation = 1

3. Különféle weboldalakat jelenít meg az Internet Explorer segítségével

4. Letiltja az EXE kiterjesztésű állományok futtatását, vagy ezek elindítása esetén riasztásokat jelenít meg.

5. A Windows Tálcáján üzeneteket jelenít meg.

6. Az üzenetekre való kattintás után megjelenik a program felhasználói felülete, és azon egy szimulált víruskeresés indul el.

7. Nem létező vírusokról értesít.

8. A program teljes értékű verziójának megvásárlására próbálja rávenni a felhasználót.