Hỏi Đáp | Tìm Kiếm
upro_03b.jpg upro_03b.jpg

Cách nhận biết một số phần mềm an ninh giả mạo phổ biến hiện nay - Tác giả : pqson1

Công Nghệ - An Ninh Bảo Mật






Giới thiệu chung:

Thuật ngữ phần mềm an ninh giả mạo - Rogue security software, là 1 dạng chương trình độc hại - malware của máy tính, sau khi lây nhiễm vào hệ thống của nạn nhân, ứng dụng sẽ hiển thị những thông tin sai lệch về tình trạng an ninh hiện thời, và dụ dỗ người dùng bỏ tiền ra để mua bản quyền của chính những phần mềm giả mạo này.
Trong vài năm gần đây, số lượng người dùng mắc phải chiếc bẫy này ngày càng tăng lên, đặc biệt là những người sử dụng desktop. Sau đây là danh sách sắp xếp theo thứ tự bảng chữ cái của 1 số chương trình giả mạo phổ biến hiện nay:

Các bước:

Bước 1

1. A-Fast Antivirus
Là 1 chương trình an ninh giả mạo khá nguy hiểm và dễ dàng lây lan, khi cài đặt thành công vào máy tính nạn nhân, chương trình sẽ tiến hành quét toàn bộ khóa registry, liên tục hiển thị các thông tin sai lệch về virus, Trojan và worm được phát hiện trên hệ thống. Và những thông báo này chỉ biến mất khi người dùng mua bản quyền.
Trước khi gỡ bỏ A-Fast Antivirus bằng các công cụ chuẩn của Windows, hãy đăng ký bản quyền của phần mềm bằng 1 trong những mã kích hoạt sau:

B0B302F772
C197C46C46
B20C1467B7
041E4B235A
25CCCC7329
9926220EED
A58EC19D33
C15F2FF276
F61E370D62
DDAD6A7A2C
9F8122FE00
3754DD9DA6
3DC52EA100
EE73BBFFA6
7E61C9C7DF
EE34D2E8A7
AA61971AA1
9D2510E3E8

Khi cài đặt, A-Fast Antivirus sẽ copy những file sau vào ổ cứng:

%UserProfile%Local SettingsApplication Data[ký tự ngẫu nhiên]
%UserProfile%Local SettingsApplication Data[ký tự ngẫu nhiên][ký tự ngẫu nhiên]tssd.exe

Và khởi tạo những khóa sau trong registry:

HKEY_CURRENT_USERSoftwareA-fast
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciesSystem "DosableTaskMgr" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionRun "fast"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesShare dAccessParametersFirewall
PolicyStandardProfileAuthorizedApplicationsList "Crogram FilesA-fastA-fast.exe"

Màn hình chính của chương trình

 

Bước 2

2. AKM Antivirus 2010 Pro
Cũng tương tự như A-Fast Antivirus, AKM Antivirus 2010 Pro có tính năng hoạt động và cách thức lây nhiễm vô cùng nhanh chóng. Chương trình còn được biết đến với cái tên là Your PC Protector.
Khi cài đặt vào hệ thống máy tính của nạn nhân, AKM Antivirus 2010 Pro sẽ copy những file sau vào ổ cứng:

%UserProfile%DesktopAKM Antivirus 2010 Pro.lnk
%UserProfile%Start MenuProgramsAKM Antivirus 2010 Pro
%UserProfile%Start MenuProgramsAKM Antivirus 2010 ProAKM Antivirus 2010 Pro.lnk
C:Program Filesdc32.dll
C:Program Fileslggui.exe
C:Program Files uar.old
C:Program Filesskynet.dat
C:Program Filessvchost.exe
C:Program Fileswp3.dat
C:Program Fileswp4.dat
C:Program Fileswpp.exe
C:Program FilesAKM Antivirus 2010 Pro
C:Program FilesAKM Antivirus 2010 ProAKM Antivirus 2010 Pro.exe
%Temp%win1.tmp
%Temp%win2.tmp

Và tiếp tục tạo ra khóa registry sau:

HKEY_CURRENT_USERSoftwareAKM Antivirus 2010 Pro

Màn hình chính của ứng dụng:


Bước 3

3. ApcSafe
APcSafe (hay còn gọi là A Pc Safe) cũng là 1 dạng Rogue Security Software, cũng giống như 2 mẫu chương trình bên trên. Nhưng có 1 ít khác biệt ở đây là ApcSafe có hỗ trợ người dùng "chút ít" chức năng bảo vệ hệ thống. Thực chất, APcSafe là biến thể mới của dòng Winisoft, "tác giả" chính của APcSafe còn tạo ra những biến thể sau:

APcSecure, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcsProtector, GreatDefender, APCprotect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SiteVillain, LinkSafeness, SecureKeeper, AntiAID, System Warrior, System Veteran, System Fighter, Block Protector, Block Keeper, Block Scanner, Block Watcher, SoftBarrier, Shield Safeness, Soft Stronghold, Soft Veteran, SoftCop, Soft Soldier, Trust Fighter, Trust Soldier, Safe Fighter, Trust Cop, Secure Warrior, Secure Fighter, Secure Veteran, Security Soldier, Security Fighter, Save Armor, Save Defender, Trust Warrior, Soft Safeness, Safety Keeper, Save Keeper, Quick Heal Cleaner, System Cop, Block Defense, Save Defense, Trust Ninja, Save Soldier, Save Keep, Winishield, Wini Fighter, WiniBlueSoft.

Sau khi cài đặt thành công vào máy tính của nạn nhân, APcSafe sẽ tạo ra số lượng nhất định các file rỗng với dung lượng và tên gọi khác nhau. Và khi rà soát, APcSafe sẽ tự phát hiện những file đó là mã độc, có hại cho hệ thống và yêu cầu người dùng mua bản quyền đầy đủ của chương trình.

Chính xác APcSafe sẽ copy những file sau vào ổ cứng:

%ProgramFiles%APcSafe SoftwareApcSafeApcSafe.exe
%ProgramFiles%APcSafe SoftwareApcSafemain_config.xml
%ProgramFiles%APcSafe SoftwareApcSafeuninstall.exe
%AllUsersProfile%DesktopApcSafe.lnk
%AllUsersProfile%Start MenuProgramsApcSafe ApcSafe.lnk
%AllUsersProfile%Start MenuProgramsApcSafe Homepage.lnk
%AllUsersProfile%Start MenuProgramsApcSafe Uninstall.lnk

Và những khóa registry sau:

HKEY_LOCAL_MACHINEsoftwareApcSafe
HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurr entVersionUninstallApcSafe
HKEY_CURRENT_USERsoftwareApcSafe
HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurr entVersionRun, "ApcSafe"
HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurre ntVersionRun, "ApcSafe"

Giao diện chính của ApcSafe:


Bước 4

4. ApcSecure
Với chức năng và cơ cấu có thể nói là giống hệt như ApcSafe, chương trình này được lây lan qua trang web www.apcsecure.com (địa chỉ này đã không còn tồn tại). ApcSecure là 1 biến thể mới của dòng Winiguard/Winisoft, bên cạnh đó còn những dạng khác như:

ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.

Giống như ApcSafe, khi cài đặt thành công vào máy tính nạn nhân, APcSecure sẽ tự động tạo ra số lượng nhất định các file rỗng với nhiều tên gọi khác nhau. Khi tiến hành rà soát, APcSecure sẽ tự động phát hiện ra đúng những file này và yêu cầu người dùng mua bản quyền chương trình để xóa bỏ tận gốc những file trên.
APcSecure sẽ copy những file sau vào ổ hệ thống:

%ProgramFiles%APcSecure SoftwareAPcSecureAPcSecure.exe
%ProgramFiles%APcSecure SoftwareAPcSecuremain_config.xml
%ProgramFiles%APcSecure SoftwareAPcSecureuninstall.exe
%AllUsersProfile%DesktopAPcSecure.lnk
%AllUsersProfile%Start MenuProgramsAPcSecure APcSecure.lnk
%AllUsersProfile%Start MenuProgramsAPcSecure Homepage.lnk
%AllUsersProfile%Start MenuProgramsAPcSecure Uninstall.lnk

Và những khóa registry sau:

HKEY_LOCAL_MACHINEsoftwareAPcSecure
HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurr entVersionUninstallAPcSecure
HKEY_CURRENT_USERsoftwareAPcSecure HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurr entVersionRun, "APcSecure"
HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurre ntVersionRun, "APcSecure"

Một số hình ảnh của chương trình:


Bước 5

5. AntiSpyware Soft

Khi thâm nhập thành công và cài đặt trên máy tính nạn nhân, AntiSpyware Soft sẽ liên tục đưa ra các thông điệp cảnh báo về virus, Trojan và worm được phát hiện trên hệ thống, người dùng sẽ không thể xóa hoặc tắt bỏ những thông tin này trừ khi mua bản quyền hoặc key kích hoạt của chương trình.
Trong quá trình cài đặt, AntiSpyware Soft sẽ copy file sau vào ổ cứng:

%Documents and Settings%[UserName]Local SettingsApplication Data[ký tự ngẫu nhiên][ký tự ngẫu nhiên]tssd.exe

Đồng thời tạo ra những khóa registry sau:

HKEY_CURRENT_USERSoftwareAvScan
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun "[random characters]"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun "[random characters]"
HKEY_CURRENT_USERSoftwarevsoft
HKEY_CURRENT_USERSoftwarevsuite
HKEY_LOCAL_MACHINESOFTWAREvsoft
HKEY_LOCAL_MACHINESOFTWAREvsuite
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDownload "RunInvalidSignatures" ="1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionInternet Settings "ProxyOverride" = "<local>"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionInternet Settings "ProxyServer" = "http=127.0.0.1:5555"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionPoliciesAssociations "LowRiskFileTypes" = ".exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionPoliciesAttachments "SaveZoneInformation" = "1"

Giao diện chính của chương trình:


Bước 6

6. Antivir Solution Pro

Cũng giống như tất cả các chương trình độc hại trên, Antivir Solution Pro ngụy trang khéo léo thành phần mềm bảo mật hợp pháp, khiến cho người dùng dễ dàng tin tưởng và luôn luôn sử dụng. Chương trình được phát tán rộng rãi qua trang web http://antispybox.com/ và các đường link liên quan. Đây cũng là 1 dạng tự nhân bản của AVSecurity Suite, Antivirus Suite và Antivirus Soft. Khi quá trình rà soát bắt đầu, người sử dụng sẽ liên tục nhận được cảnh báo về viruses, Trojans và worms đang "hoành hành" trên hệ thống, và quá trình xử lý tận gốc chỉ được tiến hành khi người dùng mua key kích hoạt của chương trình.
Khi cài đặt vào hệ thống, Antivir Solution Pro sẽ copy file thực thi sau lên ổ cứng:

%UserProfile%Local SettingsApplication Data%random%%random%.exe

Và tạo những khóa registry sau:

HKEY_LOCAL_MACHINEsoftwareAVSolution
HKEY_LOCAL_MACHINEsoftwareAVSuitE
HKEY_CURRENT_USERsoftwareAVSolution
HKEY_CURRENT_USERsoftwareAVSuitE
HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurr entVersionRun, "%random%"
HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurre ntVersionRun, "%random%"
HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurre ntVersionInternet Settings
ProxyServer = http=127.0.0.1:5643
ProxyOverride = <local>
HKEY_CURRENT_USERsoftwareMicrosoftInternet ExplorerPhishingFilter
EnabledV8 = 0×00000000 (0)
Enabled = 0×00000000 (0)

Một số hình ảnh của chương trình:


Bước 7

7. Antivirus

1 tên gọi rất chung chung - Antivirus, chương trình này có nét gì đó rất giống với APcSafe và ApcSecure, nguồn gốc lây nhiễm chính của mẫu ứng dụng độc hại này là trang web www.just-protect-pc.info (địa chỉ này đã không còn tồn tại). Cách thức lây nhiễm và hoạt động thì không có gì thay đổi, những cảnh báo về viruses, Trojans và worms phát hiện trên hệ thống liên tục được gửi đến người dùng.
Trong quá trình cài đặt, Antivirus sẽ copy nhưng file này lên ổ hệ thống:

%ProgramFiles%AntivirusAvBho.dll
%ProgramFiles%AntivirusUninstall.exe
%ProgramFiles%Antiviruswscsvc32.exe
%ProgramFiles%AntivirusAntivirus.exe
%AllUsersProfile%DesktopAntivirus.lnk
%AllUsersProfile%Start MenuProgramsAntivirusAntivirus.lnk
%AllUsersProfile%Start MenuProgramsAntivirusUninstall.lnk
%UserProfile%Application DataMicrosoftInternet ExplorerQuick LaunchAntivirus.lnk
%UserProfile%Local SettingsTempwinupd64x.exe

Và tạo những khóa registry sau:

HKEY_LOCAL_MACHINEsoftwareAntivirus
HKEY_LOCAL_MACHINEsoftwareClassesAvBho.AvBhoApp
HKEY_LOCAL_MACHINEsoftwareClassesAvBho.AvBhoApp CLSID
HKEY_LOCAL_MACHINEsoftwareClassesAvBho.AvBhoApp CurVer
HKEY_LOCAL_MACHINEsoftwareClassesAvBho.AvBhoApp .1
HKEY_LOCAL_MACHINEsoftwareClassesAvBho.AvBhoApp .1CLSID
HKEY_LOCAL_MACHINEsoftwareClassesclsid{9d541c6 a-573b-4888-b35e-6816e68c3620}
HKEY_LOCAL_MACHINEsoftwareClassesclsid{9d541c6 a-573b-4888-b35e-6816e68c3620}InprocServer32
HKEY_LOCAL_MACHINEsoftwareClassesclsid{9d541c6 a-573b-4888-b35e-6816e68c3620}ProgID
HKEY_LOCAL_MACHINEsoftwareClassesclsid{9d541c6 a-573b-4888-b35e-6816e68c3620}Programmable
HKEY_LOCAL_MACHINEsoftwareClassesclsid{9d541c6 a-573b-4888-b35e-6816e68c3620}TypeLib
HKEY_LOCAL_MACHINEsoftwareClassesclsid{9d541c6 a-573b-4888-b35e-6816e68c3620}VersionIndependentProgID
HKEY_LOCAL_MACHINEsoftwareClassesInterface{967 A494A-6AEC-4555-9CAF-FA6EB00ACF91}
HKEY_LOCAL_MACHINEsoftwareClassesInterface{967 A494A-6AEC-4555-9CAF-FA6EB00ACF91}ProxyStubClsid
HKEY_LOCAL_MACHINEsoftwareClassesInterface{967 A494A-6AEC-4555-9CAF-FA6EB00ACF91}ProxyStubClsid32
HKEY_LOCAL_MACHINEsoftwareClassesInterface{967 A494A-6AEC-4555-9CAF-FA6EB00ACF91}TypeLib
HKEY_LOCAL_MACHINEsoftwareClassesInterface{969 2BE2F-EB8F-49D9-A11C-C24C1EF734D5}
HKEY_LOCAL_MACHINEsoftwareClassesInterface{969 2BE2F-EB8F-49D9-A11C-C24C1EF734D5}ProxyStubClsid
HKEY_LOCAL_MACHINEsoftwareClassesInterface{969 2BE2F-EB8F-49D9-A11C-C24C1EF734D5}ProxyStubClsid32
HKEY_LOCAL_MACHINEsoftwareClassesInterface{969 2BE2F-EB8F-49D9-A11C-C24C1EF734D5}TypeLib
HKEY_LOCAL_MACHINEsoftwareClassesTypelib{65DA0 CE6-30D1-4144-A0B6-59BD01372E26}
HKEY_LOCAL_MACHINEsoftwareClassesTypelib{65DA0 CE6-30D1-4144-A0B6-59BD01372E26}.0
HKEY_LOCAL_MACHINEsoftwareClassesTypelib{65DA0 CE6-30D1-4144-A0B6-59BD01372E26}.0
HKEY_LOCAL_MACHINEsoftwareClassesTypelib{65DA0 CE6-30D1-4144-A0B6-59BD01372E26}.0win32
HKEY_LOCAL_MACHINEsoftwareClassesTypelib{65DA0 CE6-30D1-4144-A0B6-59BD01372E26}.0FLAGS
HKEY_LOCAL_MACHINEsoftwareClassesTypelib{65DA0 CE6-30D1-4144-A0B6-59BD01372E26}.0HELPDIR
HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurr entVersionExplorerBrowser Helper Objects{9d541c6a-573b-4888-b35e-6816e68c3620}
HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurr entVersionUninstallAntivirus
HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurre ntVersionRun, "Antivirus.exe"
HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurre ntVersionRun, "wscsvc32.exe"

Một số hình ảnh của chương trình:


Bước 8

8. Antivirus 7

Khác với chương trình giả mạo Antivirus, Antivirus 7 sẽ tự động tạo ra file thực thi của nó trong quá trình hệ thống khởi động, mỗi lần như vậy, người dùng sẽ thấy giao diện của Antivirus 7 hiện ra nhanh chóng rồi vụt tắt. Khi quét, Antivirus 7 luôn luôn phát hiện virus và các loại mã độc khác trong thư mục hệ thống (C:Windows và C:WindowsSystem32). Khi người sử dụng đồng ý mua bản quyền để xóa những file độc hại được phát hiện bên trên, Antivirus 7 sẽ tiếp tục lây lan vào các thư mục khác trên hệ thống (và các máy tính khác trong mạng nội bộ), trong khi đó Trojan đi kèm liên tục tải các biến thể khác của Antivirus 7 từ Internet.
Antivirus 7 sẽ tự động sao chép những file sau lên ổ cứng:

%Documents and Settings%All UsersStart MenuAV7
%Documents and Settings%All UsersStart MenuAV7Antivirus7.lnk
%Documents and Settings%All UsersStart MenuAV7Uninstall.lnk
%Program Files%AV7
%Program Files%AV7ntivirus7.exe
%WINDOWS%SoftwareDistributionDataStoreLogs mp. edb
%WINDOWS%system32UpdateExplorer.dll
%UserProfile%DesktopAntivirus7.lnk

Và tạo những khóa registry sau:

HKEY_CURRENT_USERSoftwareEVA246
HKEY_CLASSES_ROOTCLSID{E2BFE352-A303-4EA8-88FE-CE35361D7E8B}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionExplorerBrowser Helper Objects{E2BFE352-A303-4EA8-88FE-CE35361D7E8B}
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun "AV7"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionInternet Settings.0User AgentPost Platform "WinNT-EVI 12.03.2010"

Bước 9

9. AntivirusGT

Nếu so sánh với các mẫu ứng dụng trên thì AntivirusGT có thể coi là 1 bản sao hoàn chỉnh của Antivirus7. Khi quá trình rà soát bắt đầu, AntivirusGT sẽ tự tạo và phát hiện ra các thông báo sai lệch về tình trạng và số lượng virus, Trojan và worm.
Sau khi cài đặt thành công lên máy tính của nạn nhân, AntivirusGT sẽ tự động sao chép các file sau lên ổ cứng:

%ProgramFiles%AVGTAntivirusGT.exe
%AllUsersProfile%Start MenuAVGTAntivirusGT.lnk
%AllUsersProfile%Start MenuAVGTUninstall.lnk
%UserProfile%DesktopAntivirusGT.lnk

Và tạo những khóa registry sau:

HKEY_CURRENT_USERsoftwareEVA50C
HKEY_CURRENT_USERsoftwareWinV2
HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurre ntVersionRun, "AVGT"

Một số hình ảnh của chương trình:


Bước 10

10. Antivirus Soft
Antivirus Soft cũng được liệt vào hàng Rogue Security Software - phần mềm an ninh giả mạo, khi ngụy trang khéo léo thành 1 trong những ứng dụng an toàn đối với những người dùng ít kinh nghiệm, như chương trình quét virus hoặc rà soát registry. Nguồn gốc phát tán ứng dụng độc hại này là trang web www.newsoftspot.com (địa chỉ này đã không còn tồn tại). Cũng như tất cả các phần mềm giả mạo được liệt kê bên trên, Antivirus Soft khi hoạt động sẽ liên tục hiển thị các thông báo sai lệch về viruses, Trojans và worms. Nếu người dùng không mua key kích hoạt thì sẽ không tắt bỏ được các thông báo phiền phức đó.
Khi cài đặt vào hệ thống, Antivirus Soft sẽ tiến hành sao chép các file sau lên ổ cứng:

%UserProfile%Local SettingsApplication Data%random%%random%sftav.exe

Và những khóa registry sau:

HKEY_CURRENT_USERsoftwarevsoft
HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurr entVersionRun, %random%
HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurre ntVersionRun, %random%

Một số hình ảnh của Antivirus Soft:


Bước 11

11. Antivirus Suite

Antivirus Suite - đã và vẫn đang là 1 trong những hiểm họa lây lan nhanh, mạnh nhất hiện nay. Với những người dùng không cảnh giác hoặc ít kinh nghiệm. Khi Antivirus Suite hoạt động, chương trình sẽ chỉ hiển thị những thông báo sai sự thực về viruses, Trojans và worms được phát hiện trên hệ thống. Chỉ khi người dùng mua bản quyền hoặc key kích hoạt, những thông báo này mới biến mất.
Antivirus Suite sẽ sao chép những file sau lên ổ hệ thống sau khi cài đặt:

%UserProfile%Local SettingsApplication Data[ký tự ngẫu nhiên]
%UserProfile%Local SettingsApplication Data[ký tự ngẫu nhiên][ký tự ngẫu nhiên]tssd.exe

Đồng thời tạo những khóa registry sau:

HKEY_CURRENT_USERSoftwarevsuite
HKEY_LOCAL_MACHINESOFTWAREvsuite
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDownload "RunInvalidSignatures" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionInternet Settings "ProxyOverride" = "
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionInternet Settings "ProxyServer" = "http=127.0.0.1:5555"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionPoliciesAssociations "LowRiskFileTypes" = ".exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionPoliciesAttachments "SaveZoneInformation" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun "<random>"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun "<random>"
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDownload "CheckExeSignatures" = "no"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionInternet Settings "ProxyEnable" = "1"

Giao diện chính của chương trình:


Bước 12

12. ByteDefender

Thực chất, đây là 1 chương trình malware độc hại, khi cài đặt chúng sẽ tiếp tục "gọi" Trojan về máy tính của nạn nhân qua hình thức các gói codec audio hoặc video - tất nhiên cũng là giả mạo. Khi được cài đặt thành công, ByteDefender sẽ liên tục thực hiện các lượt quét trên hệ thống, đồng thời hiển thị các thông tin hoàn toàn sai lệch về tình trạng an ninh của máy tính. Mục đích chính của quá trình này là "dụ dỗ" người dùng nhấn vào các đường dẫn quảng cáo hoặc mua bản quyền đầy đủ để được sử dụng toàn bộ chức năng của ByteDefender.
Byte Defender thực chất là 1 biến thể mới của dòng Winiguard/Winisoft, ngụy trang trên hệ thống máy tính thành ứng dụng an toàn và bảo mật, tương tự như 1 ứng dụng quét virus hoặc sửa chữa registry hệ thống (hay gọi chung là Rogue Security Software). Đồng thời, nó còn tạo ra các biến thể phần mềm giả mạo sau đây:

PcsSecure, APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.

Sau khi Byte Defender được cài đặt vào hệ thống, ứng dụng này sẽ tự động tạo ra các file thừa với rất nhiều các tên gọi khác nhau. Khi người sử dụng kích hoạt tính năng quét toàn bộ hệ thống, Byte Defender sẽ liên tục tạo ra các thông điệp cảnh báo về virus, Trojan và worm sớm hơn trước khi chính thức tạo ra những file độc hại này. Đồng thời, những thông điệp này sẽ không bao giờ biến mất trừ khi người dùng mua bản quyền của chương trình.
Trong quá trình cài đặt, Byte Defender sẽ copy những file sau vào ổ cứng:

%ProgramFiles%ByteDefender SoftwareByteDefenderByteDefender.exe
%ProgramFiles%ByteDefender SoftwareByteDefenderUninstall.exe
%ProgramFiles%ByteDefender SoftwareByteDefenderlways_delete.xml
%ProgramFiles%ByteDefender SoftwareByteDefenderlways_skip.xml
%ProgramFiles%ByteDefender SoftwareByteDefenderquarantinequarantine.xml
%AllUsersProfile%Start MenuProgramsByteDefender.lnk
%UserProfile%DesktopByteDefender.lnk

Và tiếp tục tạo thêm những khóa sau trong hệ thống registry:

HKEY_LOCAL_MACHINEsoftwareByteDefender
HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurr entVersionUninstallByteDefender
HKEY_CURRENT_USERsoftwareByteDefender
HKEY_CURRENT_USERsoftwareByteDefendergents
HKEY_CURRENT_USERsoftwareByteDefendergeneral
HKEY_CURRENT_USERsoftwareByteDefender ealtime
HKEY_CURRENT_USERsoftwareByteDefenderscanner
HKEY_CURRENT_USERsoftwareByteDefender asks
HKEY_CURRENT_USERsoftwareByteDefender asks
HKEY_CURRENT_USERsoftwareByteDefender asks
HKEY_CURRENT_USERsoftwareByteDefenderupdates
HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurr entVersionRun, "ByteDefender"
HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurre ntVersionRun, "ByteDefender".

Bài viết liên quan:

Bkis chỉ dẫn cách nhận biết giả mạo số di động #bkis-chi-dan-cach-nhan-biet-gia-mao-so-di-dong-86889.html Sử dụng Snort phát hiện một số kiểu tấn công phổ biến hiện nay vào các ứng dụng Web #su-dung-snort-phat-hien-mot-so-kieu-tan-cong-pho-bien-hien-nay-vao-cac-ung-dung-web-80348.html 7 chuẩn công nghệ không dây phổ biến hiện nay #7-chuan-cong-nghe-khong-day-pho-bien-hien-nay-78477.html

Bài Hot

Bài mới

Bài hay