Ffsearch trójai módosÃtja a találati listát
Az Ffsearch.A trójai alattomos módon próbálja a felhasználókat kártékony weboldalakra irányÃtani, ugyanis a Google keresÅ‘oldalán lévÅ‘ linkeket módosÃtja.
Az Ffsearch.A trójai célja, hogy kártékony weboldalakról minél több rosszindulatú programot juttasson rá a már amúgy is fertÅ‘zött rendszerekre. Ennek érdekében egy alattomos trükköt vet be: folyamatosan figyeli a webböngészÅ‘ben megjelenÃtett oldalakat, és amennyiben a felhasználó a Google keresÅ‘oldalát jelenÃti meg, és azon keres, akkor a találati listában szereplÅ‘ hivatkozásokat lecseréli. Ha a felhasználó egy ilyen módosÃtott linkre kattint, akkor egy kártékony weboldal jelenik meg a böngészÅ‘jében.
Az Isidor Biztonsági Központ jelentésébÅ‘l kiderül, hogy az Ffsearch.A az InternetrÅ‘l egy konfigurációs állományt is beszerez, amely azon webcÃmeket tartalmazza, amelyekre a Google által megjelenÃtett hivatkozásokat lecseréli.
Az Ffsearch.A érdekes jellemzÅ‘je, hogy amint elvégzi a tevékenységét, akkor automatikusan eltávolÃtja saját magát a rendszerrÅ‘l. Azonban ekkora már nagy valószÃnűséggel sikerül más károkozókat letöltenie az érintett számÃtógépekre.
Amikor az Ffsearch.A trójai elindul, akkor a következő műveleteket hajtja végre:
1. A regisztrációs adatbázisban módosÃtja a következÅ‘ értéket:
HKEY_CLASSES_ROOTCLSID{5B035261-40F9-11D1-AAEC-00805FC1270E}InProcServer32(Default) = "%System%
etcfgx.dll:Zone.Identifier"
2. Csatlakozik egy előre meghatározott távoli szerverhez.
3. Interneten keresztül letölt egy konfigurációs fájlt, amelyet a következő szerint ment el:
%Documents and Settings%All UsersDocumentsgifnoc.xtx
4. Folyamatosan figyeli a webböngészÅ‘ben megjelenÃtett Google keresÅ‘oldalakat, és az azokon szereplÅ‘ hivatkozásokat a konfigurációs állományának megfelelÅ‘en módosÃtja.
5. Létrehozza a következő állományt:
%System%
etcfgx.dll
6. EltávolÃtja saját magát a fertÅ‘zött rendszerrÅ‘l.
