Webes keresések alapján reklámoz a Poinbag program

A Poinbag a tipikus reklámprogramok táborához tartozik. A nemkívánatos alkalmazás ugyanis bosszúságot okozó hirdetéseket jelenít meg, méghozzá olyan módon, hogy a reklámok a lehető legcélzottabb módon jussanak el a fertőzött számítógépek felhasználóihoz.

Az Isidor Biztonsági Központ jelentése kitér arra, hogy a Poinbag az Internet Explorerhez telepít egy olyan komponenst, amelynek segítségével folyamatosan képes figyelemmel kísérni a felhasználó által megjelenített weboldalakat. Amennyiben azt észleli, hogy a böngészőben a Google vagy a Yahoo keresője jelent meg, akkor kiértékeli a találati eredményeket, és ezek alapján teszi láthatóvá a különböző hirdetéseit.

Amikor a Poinbag trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%APPDATA%/pointbag_hidden.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce/pointbag_shop_sv="%APPDATA/pointbag_hidden.exe"

3. A regisztrációs adatbázishoz hozzáfűzi a következő kulcsokat:
HCR/clsid/{E2E7733E-F86C-4A47-BEF1-7A6268831EE1}
HLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{E2E7733E-F86C-4A47-BEF1-7A6268831EE1}
HCR/poinbag.poinbagBho.1
HCR/poinbag.poinbagBho

4. Az Internet Explorerhez beregisztrál egy BHO objektumot.

5. Csatlakozik egy távoli szerverhez, és ezáltal értesíti a terjesztőit a fertőzés tényéről.

6. Folyamatosan figyeli a felhasználó által megnyitott weboldalakat. Amennyiben azt észleli, hogy a Google vagy a Yahoo keresője jelent meg, akkor a találati eredmények függvényében különböző hirdetéseket tesz közzé.

A hír megjelenését a Biztonságportál támogatta.