如今的病毒制造者已经越来越利益驱动化。他们制造病毒不再单纯只是为了显示自己的技术水平,而是为了赚钱。其中一个比较流行的途径就是编写与真实安全软件非常相似、但是几乎没有杀毒保护功能的“假冒杀毒软件”。我们最近检测到的木马 Trojan.Fakefrag 就是利用了这个手段。
Trojan.Fakefrag运行后,会修改注册表,令自身可随windows自动启动;它还会设置注册表,令系统桌面背景消失,令用户感到系统出现异常。同时,该木马会降低操作系统的安全属性,禁止用户使用任务管理器;并且弹出提示框,报告用户硬件错误信息,令用户怀疑自己的系统中毒或出错。这时,该木马会释放一个UltraDefraggerFraud家族的假冒杀毒软件病毒到被感染的计算机中运行,提示虚假的系统问题,最终诱导用户购买该假冒杀毒软件。
此外,Trojan.Fakefrag还会和指定的网站通信,下载加密的配置文件。这些网站包括Sear[removed], fi[removed]等。