Trojan.Fakefrag运行后,会修改注册表,令自身可随Windows自动启动;它还会设置注册表,令系统桌面背景消失,令用户感到系统出现异常。同时,该木马会降低操作系统的安全属性,禁止用户使用任务管理器;并且弹出提示框,报告用户硬件错误信息,令用户怀疑自己的系统中毒或出错。这时,该木马会释放一个UltraDefraggerFraud家族的假冒杀毒软件病毒到被感染的计算机中运行,提示虚假的系统问题,最终诱导用户购买该假冒杀毒软件。
此外,Trojan.Fakefrag还会和指定的网站通信,下载加密的配置文件。这些网站包括sear[removed]proval.org, fi[removed]ertisem.org等。
文/Livian Ge@赛门铁克