Antivirus - Browser werden vom Trojaner ZefarchRisk getäuscht

Der Trojaner ZefarchRisk kann die Surfgewohnheiten von Internet Explorer- und Firefox-Benutzern ausspionieren und Computer einer Reihe von Risiken aussetzen, indem er bösartige Websites anzeigt.

A ZefarchRisiko Die Trojaner wollten weder Benutzer von Internet Explorer noch Mozilla Firefox diskriminieren, daher wurde ihre Malware geschrieben, um ihre Arbeit für beide gängige Anwendungen zu erledigen. Der Trojaner installiert verschiedene Erweiterungen für Firefox, die es ihm ermöglichen, die von den am häufigsten verwendeten Websuchmaschinen angezeigten Ergebnisse zu überwachen und zu ändern. Also Google, Yahoo, AOL und so weiter. fügt außerdem JavaScript-Code in die Suchergebnisse ein, der auf eine vordefinierte bösartige Webseite verweist.

Der Trojaner registriert ein BHO-Objekt beim Internet Explorer, das nicht den Inhalt von Webseiten überwacht, sondern die Adresse von Websites, die ein Benutzer besucht. Wenn Sie darin verschiedene vordefinierte Begriffe entdecken möchten, leiten Sie Ihren Browser einfach auf verschiedene schädliche Webseiten um.

Wenn der Trojaner ZefarchRisk startet, führt er die folgenden Aktionen aus:

1. Erstellen Sie die folgende Datei:
   % Windir% \ [zufällige Zeichen] .dll
   % UserProfile% \ Anwendungsdaten \ Mozilla \ Firefox \ Extensions \ chrome.manifest
   % UserProfile% \ Anwendungsdaten \ Mozilla \ Firefox \ Extensions \ install.rdf
   % UserProfile% \ Anwendungsdaten \ Mozilla \ Firefox \ Extensions \ chrome \ content \ _cfg.js
   % UserProfile% \ Anwendungsdaten \ Mozilla \ Firefox \ Extensions \ chrome \ content \ c.js
   % UserProfile% \ Anwendungsdaten \ Mozilla \ Firefox \ Extensions \ chrome \ content \ overlay.xul
2. Erstellt die folgenden Einträge in der Registrierungsdatenbank:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
   „[Zufällige Zeichen]“ = „rundll32.exe“% Windir% \ [RANDOM CHARACTERS] .dll“, e“
3. Registrieren Sie ein BHO-Objekt für Internet Explorer:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \
   Browser-Hilfsobjekte \ [zufällige CLSID] ”(Standard)” =
   "% Windir% \ [zufällige Zeichen] .dll"
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ Explorer \
   Browser-Hilfsobjekte \ [zufällige CLSID] ”(Standard)” =
   "% Windir% \ [zufällige Zeichen] .dll"
4. Fügen Sie der Registrierungsdatenbank folgenden Eintrag hinzu:
   HKEY_CURRENT_USER \ Software \ Mozilla \ Firefox \ Erweiterungen \[E-Mail geschützt]
5. Für Firefox überwacht es ständig die Operationen in den folgenden Suchmaschinen:
   Google
   yahoo
   aol.com
   leben
   msn
   ask.com
6. Die Suchergebnisse enthalten JavaScript-Code, der auf einen vordefinierten Remote-Server verweist.
7. Es überwacht benutzerspezifische URLs über ein BHO-Objekt, das in Internet Explorer integriert ist, und leitet in einigen Fällen auf verschiedene bösartige Webseiten um.