Một số phần mềm an ninh giả mạo phổ biến (Phần 3) potx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (341.24 KB, 8 trang )
Một số phần mềm an ninh giả mạo phổ biến
(Phần 3)
5. AntiSpyware Soft
Khi thâm nhập thành công và cài đặt trên máy tính nạn nhân, AntiSpyware
Soft sẽ liên tục đưa ra các thông điệp cảnh báo về virus, Trojan và worm
được phát hiện trên hệ thống, người dùng sẽ không thể xóa hoặc tắt bỏ những
thông tin này trừ khi mua bản quyền hoặc key kích hoạt của chương trình.
Trong quá trình cài đặt, AntiSpyware Soft sẽ copy file sau vào ổ cứng:
%Documents and Settings%\[UserName]\Local Settings\Application
Data\[ký tự ngẫu nhiên]\[ký tự ngẫu nhiên]tssd.exe
Đồng thời tạo ra những khóa registry sau:
HKEY_CURRENT_USER\Software\AvScan
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“[random characters]“
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run “[random characters]“
HKEY_CURRENT_USER\Software\avsoft
HKEY_CURRENT_USER\Software\avsuite
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
"RunInvalidSignatures" ="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Inter
net Settings "ProxyOverride" = "<local>"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Inter
net Settings "ProxyServer" = "http=127.0.0.1:5555"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Poli
cies\Associations "LowRiskFileTypes" = ".exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Poli
cies\Attachments "SaveZoneInformation" = "1"
Giao diện chính của chương trình:
6. Antivir Solution Pro
Cũng giống như tất cả các chương trình độc hại trên, Antivir Solution Pro
ngụy trang khéo léo thành phần mềm bảo mật hợp pháp, khiến cho người
dùng dễ dàng tin tưởng và luôn luôn sử dụng. Chương trình được phát tán
rộng rãi qua trang web và các đường link liên quan.
Đây cũng là 1 dạng tự nhân bản của AVSecurity Suite, Antivirus Suite và
Antivirus Soft. Khi quá trình rà soát bắt đầu, người sử dụng sẽ liên tục nhận
được cảnh báo về viruses, Trojans và worms đang “hoành hành” trên hệ
thống, và quá trình xử lý tận gốc chỉ được tiến hành khi người dùng mua key
kích hoạt của chương trình.
Khi cài đặt vào hệ thống, Antivir Solution Pro sẽ copy file thực thi sau lên ổ
cứng:
%UserProfile%\Local Settings\Application
Data\%random%\%random%.exe
Và tạo những khóa registry sau:
HKEY_LOCAL_MACHINE\software\AVSolution
HKEY_LOCAL_MACHINE\software\AVSuitE
HKEY_CURRENT_USER\software\AVSolution
HKEY_CURRENT_USER\software\AVSuitE
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Ru
n, "%random%"
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run,
"%random%"
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Inter
net Settings
ProxyServer = http=127.0.0.1:5643
ProxyOverride = <local>
HKEY_CURRENT_USER\software\Microsoft\Internet
Explorer\PhishingFilter
EnabledV8 = 0×00000000 (0)
Enabled = 0×00000000 (0)
Một số hình ảnh của chương trình:
