Tải bản đầy đủ (.pdf) (9 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Một số phần mềm an ninh giả mạo phổ biến (Phần 4) ppt

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (224.04 KB, 9 trang )






Một số phần mềm an ninh giả mạo phổ biến

(Phần 4)

7. Antivirus
1 tên gọi rất chung chung – Antivirus, chương trình này có nét gì đó rất giống
với APcSafe và ApcSecure, nguồn gốc lây nhiễm chính của mẫu ứng dụng
độc hại này là trang web www.just-protect-pc.info (địa chỉ này đã không còn
tồn tại). Cách thức lây nhiễm và hoạt động thì không có gì thay đổi, những
cảnh báo về viruses, Trojans và worms phát hiện trên hệ thống liên tục được
gửi đến người dùng.
Trong quá trình cài đặt, Antivirus sẽ copy nhưng file này lên ổ hệ thống:
%ProgramFiles%\Antivirus\AvBho.dll
%ProgramFiles%\Antivirus\Uninstall.exe
%ProgramFiles%\Antivirus\wscsvc32.exe
%ProgramFiles%\Antivirus\Antivirus.exe
%AllUsersProfile%\Desktop\Antivirus.lnk
%AllUsersProfile%\Start Menu\Programs\Antivirus\Antivirus.lnk
%AllUsersProfile%\Start Menu\Programs\Antivirus\Uninstall.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick
Launch\Antivirus.lnk
%UserProfile%\Local Settings\Temp\winupd64x.exe
Và tạo những khóa registry sau:
HKEY_LOCAL_MACHINE\software\Antivirus
HKEY_LOCAL_MACHINE\software\Classes\AvBho.AvBhoApp
HKEY_LOCAL_MACHINE\software\Classes\AvBho.AvBhoApp\CLSID


HKEY_LOCAL_MACHINE\software\Classes\AvBho.AvBhoApp\CurVer
HKEY_LOCAL_MACHINE\software\Classes\AvBho.AvBhoApp.1
HKEY_LOCAL_MACHINE\software\Classes\AvBho.AvBhoApp.1\CLSID
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-
b35e-6816e68c3620}
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-
b35e-6816e68c3620}\InprocServer32
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-
b35e-6816e68c3620}\ProgID
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-
b35e-6816e68c3620}\Programmable
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-
b35e-6816e68c3620}\TypeLib
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-
b35e-6816e68c3620}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\software\Classes\Interface\{967A494A-6AEC-
4555-9CAF-FA6EB00ACF91}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{967A494A-6AEC-
4555-9CAF-FA6EB00ACF91}\ProxyStubClsid
HKEY_LOCAL_MACHINE\software\Classes\Interface\{967A494A-6AEC-
4555-9CAF-FA6EB00ACF91}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\software\Classes\Interface\{967A494A-6AEC-
4555-9CAF-FA6EB00ACF91}\TypeLib
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9692BE2F-EB8F-
49D9-A11C-C24C1EF734D5}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9692BE2F-EB8F-
49D9-A11C-C24C1EF734D5}\ProxyStubClsid
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9692BE2F-EB8F-
49D9-A11C-C24C1EF734D5}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9692BE2F-EB8F-

49D9-A11C-C24C1EF734D5}\TypeLib
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-
4144-A0B6-59BD01372E26}
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-
4144-A0B6-59BD01372E26}\1.0
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-
4144-A0B6-59BD01372E26}\1.0\0
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-
4144-A0B6-59BD01372E26}\1.0\0\win32
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-
4144-A0B6-59BD01372E26}\1.0\FLAGS
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-
4144-A0B6-59BD01372E26}\1.0\HELPDIR
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Ex
plorer\Browser Helper Objects\{9d541c6a-573b-4888-b35e-6816e68c3620}
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uni
nstall\Antivirus
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run,
“Antivirus.exe”
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run,
“wscsvc32.exe”
Một số hình ảnh của chương trình:



8. Antivirus 7
Khác với chương trình giả mạo Antivirus, Antivirus 7 sẽ tự động tạo ra file
thực thi của nó trong quá trình hệ thống khởi động, mỗi lần như vậy, người
dùng sẽ thấy giao diện của Antivirus 7 hiện ra nhanh chóng rồi vụt tắt. Khi
quét, Antivirus 7 luôn luôn phát hiện virus và các loại mã độc khác trong thư

mục hệ thống (C:\Windows và C:\Windows\System32). Khi người sử dụng
đồng ý mua bản quyền để xóa những file độc hại được phát hiện bên trên,
Antivirus 7 sẽ tiếp tục lây lan vào các thư mục khác trên hệ thống (và các
máy tính khác trong mạng nội bộ), trong khi đó Trojan đi kèm liên tục tải các
biến thể khác của Antivirus 7 từ Internet.
Antivirus 7 sẽ tự động sao chép những file sau lên ổ cứng:
%Documents and Settings%\All Users\Start Menu\AV7
%Documents and Settings%\All Users\Start Menu\AV7\Antivirus7.lnk
%Documents and Settings%\All Users\Start Menu\AV7\Uninstall.lnk
%Program Files%\AV7
%Program Files%\AV7\antivirus7.exe
%WINDOWS%\SoftwareDistribution\DataStore\Logs\tmp.edb
%WINDOWS%\system32\UpdateExplorer.dll
%UserProfile%\Desktop\Antivirus7.lnk
và tạo những khóa registry sau:
HKEY_CURRENT_USER\Software\EVA246
HKEY_CLASSES_ROOT\CLSID\{E2BFE352-A303-4EA8-88FE-
CE35361D7E8B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects\{E2BFE352-A303-4EA8-88FE-
CE35361D7E8B}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"AV7"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Internet Settings\5.0\User Agent\Post Platform "WinNT-EVI 12.03.2010"


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×