Összefoglaló
A Peapoon reklámprogram egy kuponos alkalmazás formájában terjed. A telepítése aktív felhasználói közreműködést igényel, mivel egy hagyományos, Windows-os alkalmazásoknál megszokott telepítőprogram tartozik hozzá. Amennyiben ezt a felhasználó – akár csak kíváncsiságból – feltelepíti, akkor olyan módosítások történnek a számítógépén, amelyek nem sokkal később sok kellemetlenség forrásául szolgálhatnak.
A Peapoon reklámprogram alapvetően kétféle módon jeleníti meg a nemkívánatos reklámokat. Egyrészt manipulálja a webböngészőben megjelenő weboldalakat, és azokba ágyazza be a hirdetéseket vagy a linkeket. Másrészt pedig rendszeresen felbukkanó ablakokkal bosszantja a felhasználót.
Leírás
1. Létrehozza a következő állományokat:
%TEMP%is-reg29.tmp_isetup_shfoldr.dll
%ProgramFiles%Coupoon
%ProgramFiles%CoupoonSSL
%ProgramData%abc
%ALLUSERSPROFILE%abc
%SystemRoot%end
%ProgramFiles%Coupoon64.ico
%ProgramFiles%Coupooniiwjljrnpc.exe
%ProgramFiles%Coupoonlibeay32.dll
%ProgramFiles%Coupoonnfapi.dll
%ProgramFiles%Coupoonnfregdrv.exe
%ProgramFiles%CoupoonProtocolFilters.dll
%ProgramFiles%Coupoonssleay32.dll
%ProgramFiles%Coupoonunins000.dat
%ProgramFiles%Coupoonunins000.exe
%ProgramFiles%CoupoonUpdateCheck.exe
%ProgramFiles%abc17AF54B9
%ProgramFiles%abc4DEDA591
%ProgramFiles%abc6C8E155
%ProgramFiles%abc9721B0CB
%ProgramFiles%abc99E1F920
%ProgramFiles%abcAA012CZ
%ProgramFiles%abcC78F0747
%ALLUSERSPROFILE%abc17AF54B9
%ALLUSERSPROFILE%abc4DEDA591
%ALLUSERSPROFILE%abc6C8E155
%ALLUSERSPROFILE%abc9721B0CB
%ALLUSERSPROFILE%abc99E1F920
%ALLUSERSPROFILE%abcAA012CZ
%ALLUSERSPROFILE%abcC78F0747
%SystemRoot%driversnetfilter.sys
%SystemRoot%Temp3k7f6.exe
%SystemRoot%Temp52scn1h.exe
%SystemRoot%Temp6n8b10y1v.exe
2. A regisztrációs adatbázist kiegészíti a következő bejegyzésekkel:
HKEY_LOCAL_MACHINESOFTWAREcoupoon
HKEY_LOCAL_MACHINESOFTWAREcoupooncoupoon
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall{ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesCoupoonService
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesnetfilter
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesUpdateCheck
HKEY_USERS.DEFAULTSoftwareAppDataLowSoftwarecoupoon
3. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesCoupoonServiceiiwjljrnpc.exe=”%ProgramFiles%coupooniiwjljrnpc.exe”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesnetfilternetfilter.sys=”%SystemRoot%driversnetfilter.sys”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesUpdateCheckUpdateCheck.exe=”%ProgramFiles%CoupoonUpdateCheck.exe run”
4. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a számítógépen.
5. Különféle folyamatokat fertőz meg.
6. Hirdetéseket jelenít meg a webböngészőkben.
7. Felbukkanó reklámokkal bosszantja a felhasználót.
Megoldás
Az alábbi ingyenes Microsoft szoftverek használhatóak a fertőzés detektálására és eltávolítására:
- Windows Defender for Windows 8, vagy Microsoft Security Essentials for Windows 7 and Windows Vista
- Microsoft Safety Scanner
Támadás típusa
Manipulation of dataOther (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.microsoft.com
