Když bezpečnostní riziko spustí, vytvoří následující soubory:
- % ProgramFiles% \ KeywordInfo \ Wkip.exe
- % ProgramFiles% \ KeywordInfo \ WkipUpdate.exe
- % ProgramFiles% \ KeywordInfo \ WkipUnInst.exe
- % ProgramFiles% \ STerra \ SafeTerra.exe
- % ProgramFiles% \ STerra \ SafeTerraUpdate.exe
- % ProgramFiles% \ STerra \ STUninstall.exe
- % ProgramFiles% \ STerra \ TerraInfo.STR
Dále vytváří následující položky registru, takže to běží při každém startu Windows:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "Safeterra" = "% ProgramFiles% \ STerra \ SafeTerraUpdate.exe"
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "KeywordInfo" = "% ProgramFiles% \ KeywordInfo \ WKipUpdate.exe"
To pak vytváří následující položky registru:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "HelpLink" = "[http://] www.cpaacademy.kr"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "Vydavatel" = "[korejských znaků]"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "URLInfoAbout" = "[http://] www.cpaacademy.kr"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "URLUpdateInfo" = "[http://] www.cpaacademy.kr"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "UninstallString" = "% ProgramFiles% \ STerra \ STUninstall.exe"
- HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ "paused_ad_time" = "3c"
- HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ BlcokDomainList \ "WEGAMES.NET"
- HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ BlcokDomainList \ "JI.WOTO.NET"
- HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ "answer_hold" = "bb8"
- HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ "day_middle" = ""
- HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ "day_repeat" = "1"
- HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ "day_toast" = ""
- HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ "day_under" = ""
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "Komentáře" = "SafeTerra 1,0"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "DisplayName" = "Okno sítě SafeTerra"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "DisplayVersion" = "1.0"
To pak se připojí na následujících adresách:
- [Http://] admin.keywordinfo.co.kr / app / setu [ODSTRANIT]
- [Http://] datacheck.cpaacademy.kr / AppBlockDataApp / AppBlockVal [ODSTRANIT]
- [Http://] admin.keywordinfo.co.kr / app / důvěrnou [ODSTRANIT]
- [Http://] jedl> http://admin.keywordinfo.co.kr/app/setu [ODSTRANIT]
Také stáhne soubor XML z následující adresy:
[http://] admin.keywordinfo.co.kr / app / index [ODSTRANIT] stáhnout soubor XML obsahuje URL se zobrazí pop-up reklamy, která se otevře v aplikaci Internet Explorer . bezpečnostní riziko lze též stáhnout další adware.
Žádné komentáře:
Okomentovat