neděle 20. května 2012

Adware.SafeTerra

Adware.SafeTerra je bezpečnostní riziko, že se zobrazí pop-up reklamy. 
Když bezpečnostní riziko spustí, vytvoří následující soubory: 
  • % ProgramFiles% \ KeywordInfo \ Wkip.exe
  • % ProgramFiles% \ KeywordInfo \ WkipUpdate.exe
  • % ProgramFiles% \ KeywordInfo \ WkipUnInst.exe
  • % ProgramFiles% \ STerra \ SafeTerra.exe
  • % ProgramFiles% \ STerra \ SafeTerraUpdate.exe
  • % ProgramFiles% \ STerra \ STUninstall.exe
  • % ProgramFiles% \ STerra \ TerraInfo.STR

Dále vytváří následující položky registru, takže to běží při každém startu Windows:
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "Safeterra" = "% ProgramFiles% \ STerra \ SafeTerraUpdate.exe"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "KeywordInfo" = "% ProgramFiles% \ KeywordInfo \ WKipUpdate.exe"

To pak vytváří následující položky registru:
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "HelpLink" = "[http://] www.cpaacademy.kr"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "Vydavatel" = "[korejských znaků]"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "URLInfoAbout" = "[http://] www.cpaacademy.kr"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "URLUpdateInfo" = "[http://] www.cpaacademy.kr"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "UninstallString" = "% ProgramFiles% \ STerra \ STUninstall.exe"
  • HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ "paused_ad_time" = "3c"
  • HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ BlcokDomainList \ "WEGAMES.NET"
  • HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ BlcokDomainList \ "JI.WOTO.NET"
  • HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ "answer_hold" = "bb8"
  • HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ "day_middle" = ""
  • HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ "day_repeat" = "1"
  • HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ "day_toast" = ""
  • HKEY_CURRENT_USER \ Software \ Safeterra \ Ad \ "day_under" = ""
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "Komentáře" = "SafeTerra 1,0"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "DisplayName" = "Okno sítě SafeTerra"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ SafeTerra \ "DisplayVersion" = "1.0"

To pak se připojí na následujících adresách:
  • [Http://] admin.keywordinfo.co.kr / app / setu [ODSTRANIT]
  • [Http://] datacheck.cpaacademy.kr / AppBlockDataApp / AppBlockVal [ODSTRANIT]
  • [Http://] admin.keywordinfo.co.kr / app / důvěrnou [ODSTRANIT]
  • [Http://] jedl> http://admin.keywordinfo.co.kr/app/setu [ODSTRANIT]

Také stáhne soubor XML z následující adresy:
[http://] admin.keywordinfo.co.kr / app / index [ODSTRANIT] stáhnout soubor XML obsahuje URL se zobrazí pop-up reklamy, která se otevře v aplikaci Internet Explorer . bezpečnostní riziko lze též stáhnout další adware.

Žádné komentáře:

Okomentovat