SpySheriff je štetni softver koji se predstavlja kao antišpijunski (antispyware) program. Potiče korisnika zaraženog računala da nakon probnog perioda kupi program kako bi obrisao nepostojeće računalne viruse.
Napada računala koja rade pod operativnim sustavom Microsoft Windows (Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows 2000).
Opis
SpySheriff prekida konekciju na Internet ili je ograničava. Ako korisnik pokuša pristupiti Internetu, pojavljuje se poruka s tekstom: "The system has been stopped to protect you from Spyware." (Sustav je zaustavljen kako bismo Vas zaštitili od špijunskog softvera.) SpySheriff blokira nekoliko internetskih stranica, uključujući one na kojima korisnik može preuzeti antišpijunski program te onemogućuje mijenanje opcija u Internet Exploreru.
Slika radne površine (desktopa) može biti zamijenjena plavim ekranom smrti, ili tekstom: "SPYWARE INFECTION! Your system is infected with spyware. Windows recommends that you use a spyware removal tool to prevent loss of data. Using this PC before having it cleaned of spyware threats is highly discouraged." (Infekcija spywareom! Vaše je računalo zaraženo špijunskim softverom. Operativni sustav Windows Vam preporučuje da koristite antišpijunske alate kako biste spriječili gubitak podataka. Ne preporučujemo Vam korištenje PC-a prije nego što na njemu uklonite špijunski softver.)
Ovaj štetni softver je poznat po tome što kreira jedan ili više administratorskih računa te stoga blokira pristup programima ostalim korisnicima, a također i svim korisnicima opciju System restore (ovu opciju je uglavnom moguće pokrenuti u sigurnoj zoni ili Safe modeu).
Ako korisnik pokuša SpySheriff deinstalirati Control Panelovim alatom Add/Remove program, to može rezultirati padom sustava te pojavom plavog ekrana smrti.
SpySheriff kreira datoteke base.avd, base001.avd, base002.avd, found.wav, heur000.dll, heur001.dll, heur002.dll, heur003.dll, IESecurity.dll, notfound.wav, ProcMon.dll, removed.wav, SpySheriff.dvm, SpySheriff.exe, Uninstall.exe, SpySheriff.lnk i SpySheriff.lnk.
U registryu kreira sljedeće ključeve:
- HKEY_CURRENT_USER\Software\SpySheriff
- HKEY_CURRENT_USER\Software\SNO2
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpySheriff
Kako bi se pokretao za vrijeme podizanja sustava, u registry dodaje retke:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SpySheriff" = "%ProgramFiles%\SpySheriff\SpySheriff.exe"
Nakon probnog perioda korisnik dobiva poruku s tekstom:
- SECURITY WARNING!
- serious security threat detected
- Your computer is infected with Spyware.
- Your Security and Privacy are in DANGER.
- Spyware programs can steal your credit card numbers and bank information detail. The computer can be used for sending
- spam and you may get popups with adult or any onther unwanted content.
- If:
- - You have visited adult or warez website during past 3 days.
- - Your homepage has changed and does not change back.
- - Your computer performance has dropped down dramatically.
- - You are suspecting someone is watching you.
- Then your computer is most likely INFECTED WITH SPYWARE.
- We are sorry, but the trial version is unable to remove this threats.
- We strongly recommend you to purchase Full version.
- You will get 24x7 friendly support and unlimited protection.
(Sigurnosno upozorenje! Otkrivena je opasna sigurnosna prijetnja. Vaše računalo je zaraženo špijunskim softverom (spywareom). Vaša sigurnost i privatnost su u opasnosti. Špijunski programi kradu broj Vaše kreditne kartice i bankovne podatke. Računalo može biti korišteno za slanje neželjene pošte (spama) te biste mogli dobiti skočne prozore s pornografskim ili bilo kojim drugim neželjenim sadržajem. Ako ste posjetili pornografsku web stranicu ili stranicu s ilegalnim sadržajem u zadnja 3 dana, ako Vam se promijenila početna stranica te ju ne možete vratiti na staru, ako Vam se računalo dramatično usporilo, ako pretpostavljate da Vas netko gleda, Vaše je računalo sigurno zaraženo špijunskim softverom. Žao nam je, ali probna verzija ne može ukloniti ove sigunosne prijetnje. Preporučujemo Vam da nabavite punu inačicu programa. Dobit ćete tehničku podršku i neograničenu zaštitu.)
Klonovi SpySheriffa
Tvrtka koja je razvila SpySheriff napravila je i nekoliko njegovih klonova s različitim imenima, ali istim ponašanjem kao SpySheriff. To su primjerice Adware Sheriff, System Security, SpyAxe, SpywareNo i AntiVirGear.
Promoviranje SpySheriffa
Internetska stranica Goggle.com preusmjerava korisnika na SpySheriffovu internetsku stranicu te preuzima štetni softver bez dopuštenja. Toggle.com je također poznati internetski site koji promovira SpySheriff.
Prema informacijama od CA Technologiesa, stranica gta.superserials.com iskorištava sigurnosni propust zbog kojeg će se automatski preuzeti SpySheriff.[1]