De Windows Desktop Trojan verspreidt zich
De belangrijkste taak van de Desktophijack.C Trojan is om het uiterlijk van het Windows-bureaublad te wijzigen en vervolgens bestanden van internet te downloaden.
Het herkennen van de Desktophijack.C Trojan is vrij eenvoudig, omdat het het uiterlijk van het Windows-bureaublad volledig verandert. De Trojan downloadt vervolgens verschillende bestanden van internet.
Wanneer Desktophijack.C start, voert het de volgende acties uit:
1. Maak de volgende bestanden aan:
% Systeem% \ intell32.exe
% Systeem% \ oleext.dll
% Systeem% \ oleext32.dll
% Systeem% \ wppp.html
% Windir% \ uninstIU.exe.
2. De registratiedatabase
HKEY_USERS \ Software \ Microsoft \ Windows \ Huidige versie \ Uitvoeren
voegt toe aan je sleutel
“Intell32.exe” = “% systeem% \ intell32.exe”.
3. Maak de volgende vermeldingen in de registratiedatabase aan:
HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982 A3}
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion n \ Uninstall \ Internet Update
4. Wijzig de registratiedatabase
HKEY_CURRENT_USER \ Configuratiescherm \ Kleuren
inbegrepen in de sleutel
"Achtergrond" = "0 0 0".
Dit verandert de achtergrond van het bureaublad.
5. Wijzig de registratiedatabase
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
inbegrepen in de sleutel
“NoActiveDesktopChanges” = “1”.
6. De registratiedatabase
HKEY_CURRENT_USER \ Control Panel \ Desktop
voegt toe aan je sleutel
"WallpaperStyle" = "0"
"Wallpaper" = "% SystemRoot% \% System% \ wppp.html" waarden.
7. De registratiedatabase
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
voegt toe aan je sleutel
"NoDispBackgroundPage" = "1"
"NoDispAppearancePage" = "1" waarden.
8. Geeft de volgende afbeelding weer als achtergrond:
9. Plaats een pictogram met een klein uitroepteken op de taakbalk. Wanneer de gebruiker de muis eroverheen sleept, wordt het volgende bericht weergegeven:
"Uw computer is geïnfecteerd."
10. Wanneer de gebruiker dubbelklikt op het pictogram, opent de Trojan de standaardwebbrowser en wordt een webpagina weergegeven.
11. Download een bestand van internet.
12. U probeert het bestand wininet.dll te infecteren met een bestand met de naam oleext32.dll.