1. Beschreibung

XP Antivirus Pro (andere Bezeichnungen sind XP Antivirus Pro 2010 und Antivirus XP Pro) ist ein Programm, das sich zwar Antiviren-Programm nennt, in Wirklichkeit aber kein Antiviren-Programm ist (Rogue-Sicherheitssoftware).

2. Aktionen

Nach der Installation imitiert XP Antivirus Pro eine Untersuchung des Computers und "findet" Viren in Systemdateien (in den Ordnern C:\Windows und C:\Windows\System32).  Das Programm empfiehlt, diese Dateien zu desinfizieren/zu lцschen, – wofьr jedoch eine Lizenz fьr dieses Programm erforderlich ist.

3. Dateien

Bei der Installation kopiert XP Antivirus Pro die folgenden Dateien auf die Festplatte:

%Documents and Settings%\[UserName]\Application Data\av.exe
%Documents and Settings%\[UserName]\Application Data\WRblt8464P

4. Systemregistrierung

Um seine normale Funktionsfдhigkeit zu erhalten, erstellt XP Antivirus Pro in der Systemregistrierung die folgenden Zweige:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "XP Antivirus Pro"
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command „(Default)“ = „av.exe“ /START “%1? %*
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command „(Default)“ = „av.exe“ /START “%1? %*
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command „(Default)“ = „av.exe“ /START “%1? %*
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command „(Default)“ = „av.exe“ /START “%1? %*
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command „(Default)“ = „av.exe“ /START „firefox.exe“
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command „(Default)“ = „av.exe“ /START „firefox.exe“
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command „(Default)“ = „av.exe“ /START „firefox.exe“
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center „AntiVirusOverride“ = “1?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center „AntiVirusOverride“ = “1?

5. Screenshots des Programms