Một số phần mềm an ninh giả mạo phổ biến - Phần 3

QuanTriMang.com - Thuật ngữ phần mềm an ninh giả mạo - Rogue security software, là 1 dạng chương trình độc hại – malware của máy tính, sau khi lây nhiễm vào hệ thống của nạn nhân, ứng dụng sẽ hiển thị những thông tin sai lệch về tình trạng an ninh hiện thời, và dụ dỗ người dùng bỏ tiền ra để mua bản quyền của chính những phần mềm giả mạo này.

>> Một số phần mềm an ninh giả mạo phổ biến hiện nay - Phần 1
>> Một số phần mềm an ninh giả mạo phổ biến hiện nay - Phần 2

27. SafePcAv

Khá quen thuộc với chúng ta, SafePcAv là 1 biến thể không quá xa lạ của dòng Winiguard/Winisoft, được phát tán và lây lan rộng rãi qua website www.safepcav.com (địa chỉ này đã không còn tồn tại). Bên cạnh đó, chúng ta có thể kể đến các dạng sau:

PcsSecure, APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.

Khi SafePcAv xâm nhập vào máy tính của nạn nhân, sẽ liên tục tạo ra số lượng nhất định các file rỗng với nhiều tên gọi khác nhau trên hệ thống. Và khi người dùng kích hoạt tính năng rà soát toàn bộ các phân vùng, SafePcAv sẽ tự phát hiện những file này là mã độc, đồng thời yêu cầu người dùng mua key kích hoạt bản quyền đầy đủ của chương trình.

Những file sau sẽ được sinh ra và so chép vào ổ hệ thống khi cài đặt SafePcAv:

%ProgramFiles%\SafePcAv Software\SafePcAv\always_delete.xml
%ProgramFiles%\SafePcAv Software\SafePcAv\always_skip.xml
%ProgramFiles%\SafePcAv Software\SafePcAv\main_config.xml
%ProgramFiles%\SafePcAv Software\SafePcAv\SafePcAv.exe
%ProgramFiles%\SafePcAv Software\SafePcAv\uninstall.exe
%ProgramFiles%\SafePcAv Software\SafePcAv\quarantine\quarantine.xml
%AllUsersProfile%\Desktop\SafePcAv.lnk
%AllUsersProfile%\Start Menu\Programs\SafePcAv\1 SafePcAv.lnk
%AllUsersProfile%\Start Menu\Programs\SafePcAv\2 Homepage.lnk
%AllUsersProfile%\Start Menu\Programs\SafePcAv\3 Uninstall.lnk

và những khóa registry sau:

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\SafePcAv
HKEY_LOCAL_MACHINE\software\SafePcAv
HKEY_CURRENT_USER\software\SafePcAv
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run, “SafePcAv”
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, “SafePcAv”

Một vài hình ảnh của SafePcAv:

28. Spy Doc Pro

Không có quá nhiều điều để nói về Spy Doc Pro, được phát tán và lây lan bởi những trang web sau: www.pcssecure.com, www.spydocpro.com, www.spyresearchcenter.com (những địa chỉ này đã không còn tồn tại). Sau khi cài đặt thành công vào máy tính của người dùng, Spy Doc Pro sẽ liên tục tạo ra những cảnh báo sai lệch về virus, mã độc và các cuộc tấn công khác từ Internet.

Giao diện chính của chương trình:


29. SpyEraser

Thành viên tiếp theo trong bảng danh sách này là SpyEraser – được phát hiện bởi Kaspersky Lab, nhưng lại không liệt vào dạng biến thể FraudTool.Win32.SpyEraser.b. Phần mềm giả mạo này được phát triển và lây lan qua trang web www.spyeraser-security.comwww.spyeraser-trial.com. Sau khi cài đặt thành công SpyEraser trên máy tính, chương trình sẽ tự động tạo ra số lượng nhất định các file rỗng với nhiều tên gọi khác nhau trong các thư mục hệ thống như C:\WindowsC:\Windows\System32. Khi tiến hành quét, SpyEraser sẽ tự động phát hiện những file này là mã độc và yêu cầu người dùng mua key kích hoạt chương trình.

Khi cài đặt, SpyEraser sẽ sao chép những file sau lên ổ cứng:

%Program Files%\SpyEraser\msctrl32.exe
%Program Files%\SpyEraser\SpyEraser.exe
%Program Files%\SpyEraser\SpyEraserdata.dll
%Program Files%\SpyEraser\data.dll
%Program Files%\SpyEraser\stat_file.dll
%StartMenu%\Programs\SpyEraser\SpyEraser.lnk
%StartMenu%\Programs\SpyEraser\Launch SpyEraser.exe.lnk
%StartMenu%\Programs\SpyEraser\SpyEraser Uninstall.exe.lnk

Và những khóa registry sau:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SpyEraser
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "SpyEraser"

Một số hình ảnh của SpyEraser:

30. User Antivirus 2010

User Antivirus 2010 và New Antivirus 2010 được tạo ra bởi cùng 1 “tác giả”, và tất nhiên cách thức lây lan và phát tán cũng giống nhau. Khi quét toàn bộ hệ thống, User Antivirus 2010 sẽ tạo ra các tin nhắn giả mạo về viruses, Trojans và worms phát hiện trên hệ thống, chỉ khi người dùng mua mã kích hoạt của chương trình, người dùng mới có thể thoát khỏi những thông báo phiền phức này.

Khi cài đặt, User Antivirus 2010 sẽ tạo ra các file sau:

%Documents and Settings%\All Users\Application Data\Microsoft\Machine\WStech.dll
%Documents and Settings%\All Users\Start Menu\Programs\User Antivirus 2010
%Documents and Settings%\All Users\Desktop\UserAntivirus 2010.lnk

và những khóa registry sau:

HKEY_LOCAL_MACHINE\SOFTWARE\User Antivirus 2010
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "User Antivirus 2010"

Giao diện chính của chương trình:


31. User Protection

Là 1 trong những biến thể gần đây nhất của dòng Dr. Guard và PaladinAntivirus. Mỗi khi máy tính khởi động, User Protection sẽ đưa ra cảnh báo lỗi hệ thống bị ảnh hưởng nghiêm trọng bởi Trojan, worm và virus, đồng thời yêu cầu người sử dụng mua bản quyền hoặc key kích hoạt chương trình để xử lý triệt để những lỗi trên.

Khi cài đặt vào máy tính nạn nhân, User Protection sẽ sao chép những file sau vào ổ cứng:

%ProgramFiles%\User Protection\scan.ico
%ProgramFiles%\User Protection\settings.ico
%ProgramFiles%\User Protection\splash.mp3
%ProgramFiles%\User Protection\uninstall.exe
%ProgramFiles%\User Protection\update.ico
%ProgramFiles%\User Protection\usr.db
%ProgramFiles%\User Protection\usrext.dll
%ProgramFiles%\User Protection\usrhook.dll
%ProgramFiles%\User Protection\usrprot.exe
%ProgramFiles%\User Protection\virus.mp3
%ProgramFiles%\User Protection\about.ico
%ProgramFiles%\User Protection\activate.ico
%ProgramFiles%\User Protection\buy.ico
%ProgramFiles%\User Protection\help.ico
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\User Protection.lnk
%UserProfile%\Desktop\User Protection.lnk
%UserProfile%\Desktop\User Protection Support.lnk
%UserProfile%\Desktop\License.txt
%UserProfile%\Local Settings\Temp\4otjesjty.mof
%UserProfile%\Local Settings\Temp\usr.dat
%UserProfile%\Local Settings\Temp\usrr.dat
%UserProfile%\Start Menu\Programs\User Protection\Settings.lnk
%UserProfile%\Start Menu\Programs\User Protection\Update.lnk
%UserProfile%\Start Menu\Programs\User Protection\User Protection.lnk
%UserProfile%\Start Menu\Programs\User Protection\User Protection Support.lnk
%UserProfile%\Start Menu\Programs\User Protection\About.lnk
%UserProfile%\Start Menu\Programs\User Protection\Activate.lnk
%UserProfile%\Start Menu\Programs\User Protection\Buy.lnk
%UserProfile%\Start Menu\Programs\User Protection\Scan.lnk

đồng thời tạo tiếp những khóa registry sau:

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\User Protection
HKEY_LOCAL_MACHINE\software\User Protection
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, “User Protection”

Giao diện chính của User Protection:

32. Vista Antivirus

Vista Antivirus 2010 hay còn được biết đến dưới cái tên Vista Antivirus Pro hoặc Vista Antivirus Pro 2010. Khi xâm nhập thành công vào máy tính của nạn nhân, chương trình sẽ liên tục tạo ra 1 số lượng nhất định các file rỗng với nhiều tên gọi khác nhau trong thư mục C:\WindowsC:\Windows\System32. Khi tiến hành rà soát toàn bộ hệ thống, Vista Antivirus 2010 sẽ tự phát hiện những file này là mã độc và yêu cầu người sử dụng đăng ký bản quyền đầy đủ của ứng dụng.

Khi cài đặt, Vista Antivirus 2010 sẽ sao chép những file sau đây lên ổ cứng:

av2010.exe
AntivirusPro2010.exe
AV2010Install.exe
Program Files%\Vista Antivirus 2010
Program Files%\LabelCommand
Documents and Settings%\All Users\Start Menu\Programs\Vista Antivirus 2010
Documents and Settings%\All Users\Application Data\Vista Antivirus 2010

Đồng thời tiếp tục tạo những key trong registry sau:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Vista Antivirus 2010”
HKEY_CURRENT_USER\Software\Vista Antivirus 2010
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Vista Antivirus 2010
HKEY_LOCAL_MACHINE\SOFTWARE\Vista Antivirus 2010

Giao diện chính của chương trình Vista Antivirus 2010:


33. Win Antispyware Center

Với khả năng ngụy trang khéo léo và đưa ra những thông điệp cảnh báo khá khôn ngoan và hấp dẫn về sự hiện diện của viruse, Trojan và worm trong hệ thống.

Trong quá trình cài đặt, Win AntiSpyware Center sẽ tự động sao chép những file sau:

%ProgramFiles%\WinAntispywareCenter\av.exe
%UserProfile%\Local Settings\Temp\10.tmp

Và tạo những khóa sau trong registry:

HKEY_LOCAL_MACHINE\software\Classes\secfile
HKEY_LOCAL_MACHINE\software\Classes\secfile\DefaultIcon
HKEY_LOCAL_MACHINE\software\Classes\secfile\shell
HKEY_LOCAL_MACHINE\software\Classes\secfile\shell\open
HKEY_LOCAL_MACHINE\software\Classes\secfile\shell\open\command
HKEY_LOCAL_MACHINE\software\Classes\secfile\shell\runas
HKEY_LOCAL_MACHINE\software\Classes\secfile\shell\runas\command
HKEY_LOCAL_MACHINE\software\Classes\secfile\shell\start
HKEY_LOCAL_MACHINE\software\Classes\secfile\shell\start\command
HKEY_CURRENT_USER\software\Win Antispyware Center
HKEY_LOCAL_MACHINE\software\Classes\.exe\shell\open\command
(Default) = “C:\Program Files\WinAntispywareCenter\av.exe” /START “%1″ %*
IsolatedCommand = “%1″ %*
HKEY_LOCAL_MACHINE\software\Classes\secfile\shell\open\command
(Default) = “C:\Program Files\WinAntispywareCenter\av.exe” /START “%1″ %*
IsolatedCommand = “%1″ %*
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run
Win Antispyware Center = C:\Program Files\WinAntispywareCenter\av.exe
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run
Win Antispyware Center = C:\Program Files\WinAntispywareCenter\av.exe

Một số hình ảnh của Win AntiSpyware Center:

34. XJR Antivirus

Về bản chất, có thể coi XJR Antivirus là 1 dạng biến thể khác của AKM Antivirus 2010 Pro và RST Antivirus 2010. Mỗi khi hoạt động XJR Antivirus sẽ hiển thị những thông báo hoàn toàn sai lệch về tình trạng và số lượng của virus, Trojan và worm trên hệ thống máy tính.

Khi cài đặt, XJR Antivirus sẽ tiến hành sao chép những file sau lên ổ cứng hệ thống:

%ProgramFiles%\wp4.dat
%ProgramFiles%\adc_w32.dll
%ProgramFiles%\alggui.exe
%ProgramFiles%\skynet.dat
%ProgramFiles%\svchost.exe
%ProgramFiles%\wp3.dat
%ProgramFiles%\XJR Antivirus\XJR Antivirus.exe
%UserProfile%\Desktop\XJR Antivirus.lnk
%UserProfile%\Start Menu\Programs\XJR Antivirus\XJR Antivirus.lnk

Và tiếp tục tạo ra những khóa Registry sau:

HKEY_LOCAL_MACHINE\software\Classes\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}\InprocServer32
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{149256D5-E103-4523-BB43-2CFB066839D6}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd
HKEY_CURRENT_USER\software\XJR Antivirus
HKEY_CURRENT_USER\software\XJR Antivirus\wpp
HKEY_CURRENT_USER\software\XJR Antivirus\wpp\Registration
HKEY_CURRENT_USER\software\XJR Antivirus\wpp\setdata
HKEY_CURRENT_USER\software\XJR Antivirus\XJR Antivirus
HKEY_CURRENT_USER\software\XJR Antivirus\XJR Antivirus\Registration
HKEY_CURRENT_USER\software\XJR Antivirus\XJR Antivirus\setdata

Giao diện chính của chương trình XJR Antivirus:


35. XP Antivirus Pro 2010

XP Antivirus Pro 2010 – hay còn gọi là XP Antivirus Pro 2010 hoặc Antivirus XP Pro, cũng được liệt kê vào danh sách phần mềm an ninh giả mạo - Rogue Security Software, với cơ chế lây lan và mức độ phiền phức chúng gây ra cho người sử dụng. Khi XP Antivirus Pro hoạt động, chúng sẽ phát hiện tất cả những file hệ thống trong thư mục C:\Windows C:\Windows\System32 là virus. Và chỉ khi người dùng đồng ý mua bản quyền đăng ký hoặc key kích hoạt thì XP Antivirus Pro sẽ “xóa bỏ” những file lây nhiễm kia.

Khi người dùng tiến hành cài đặt XP Antivirus Pro lên hệ thống, chúng sẽ tự động sản sinh và sao chép những file sau lên ổ cứng:

%Documents and Settings%\[UserName]\Application Data\av.exe
%Documents and Settings%\[UserName]\Application Data\WRblt8464P

Đồng thời tiếp tục tạo ra những khóa registry sau:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "XP Antivirus Pro"
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command “(Default)” = “av.exe” /START “%1? %*
HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command “(Default)” = “av.exe” /START “%1? %*
HKEY_CLASSES_ROOT\.exe\shell\open\command “(Default)” = “av.exe” /START “%1? %*
HKEY_CLASSES_ROOT\secfile\shell\open\command “(Default)” = “av.exe” /START “%1? %*
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command “(Default)” = “av.exe” /START “firefox.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command “(Default)” = “av.exe” /START “firefox.exe” -safe-mode
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command “(Default)” = “av.exe” /START “iexplore.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “AntiVirusOverride” = “1?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “FirewallOverride” = “1?

Giao diện chính của chương trình XP Antivirus Pro:

36. Your Protection

“Thành viên” cuối cùng được chúng tôi đề cập đến trong danh sách này là Your Protection – 1 biến thể mới xuất hiện của dòng CoreGuard, bên cạnh đó, chúng ta có thể kể đến những biến thể nguy hiểm khác như User Protection, Dr. Guard, Paladin Antivirus.

Khi Your Protection hoạt động, chúng sẽ liên tục tạo ra những thông báo sai lệch về tình trạng và số lượng của virus, Trojan cũng như worm được phát hiện trên hệ thống. Và sau khi Your Protection được cài đặt thành công trên máy tính của nạn nhân, chúng sẽ tự động sao chép những file sau vào ổ cứng:

C:\Program Files\Your Protection
%UserProfile%\Start Menu\Programs\Your Protection
C:\Program Files\Your Protection\urphook.dll
C:\Program Files\Your Protection\urpprot.exe
%UserProfile%\Local Settings\temp\mplay32xe.exe
C:\Program Files\Your Protection\about.ico
C:\Program Files\Your Protection\activate.ico
C:\Program Files\Your Protection\buy.ico
C:\Program Files\Your Protection\help.ico
C:\Program Files\Your Protection\scan.ico
C:\Program Files\Your Protection\settings.ico
C:\Program Files\Your Protection\splash.mp3
C:\Program Files\Your Protection\uninstall.exe
C:\Program Files\Your Protection\update.ico
C:\Program Files\Your Protection\urp.db
C:\Program Files\Your Protection\urpext.dll
C:\Program Files\User Protection\virus.mp3
%UserProfile%\Start Menu\Programs\Your Protection\About.lnk
%UserProfile%\Start Menu\Programs\Your Protection\Activate.lnk
%UserProfile%\Start Menu\Programs\Your Protection\Buy.lnk
%UserProfile%\Start Menu\Programs\Your Protection\Scan.lnk
%UserProfile%\Start Menu\Programs\Your Protection\Settings.lnk
%UserProfile%\Start Menu\Programs\Your Protection\Update.lnk
%UserProfile%\Start Menu\Programs\Your Protection\Your Protection Support.lnk
%UserProfile%\Start Menu\Programs\Your Protection\Your Protection.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Your Protection.lnk
%UserProfile%\Desktop\Your Protection Support.lnk
%UserProfile%\Desktop\Your Protection.lnk

Đồng thời tiếp tục tạo ra những khóa registry sau:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\your protection
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\mplay32xe.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

Giao diện chính của ứng dụng giả mạo Antivirus:

Thứ Tư, 04/08/2010 14:27
51 👨 567
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp