Một số phần mềm an ninh giả mạo phổ biến - Phần 1

Quản Trị Mạng - Thuật ngữ phần mềm an ninh giả mạo - Rogue security software, là 1 dạng chương trình độc hại – malware của máy tính, sau khi lây nhiễm vào hệ thống của nạn nhân, ứng dụng sẽ hiển thị những thông tin sai lệch về tình trạng an ninh hiện thời, và dụ dỗ người dùng bỏ tiền ra để mua bản quyền của chính những phần mềm giả mạo này. Trong vài năm gần đây, số lượng người dùng mắc phải chiếc bẫy này ngày càng tăng lên, đặc biệt là những người sử dụng desktop. Sau đây là danh sách sắp xếp theo thứ tự bảng chữ cái của 1 số chương trình giả mạo phổ biến hiện nay:

1. A-Fast Antivirus

Là 1 chương trình an ninh giả mạo khá nguy hiểm và dễ dàng lây lan, khi cài đặt thành công vào máy tính nạn nhân, chương trình sẽ tiến hành quét toàn bộ khóa registry, liên tục hiển thị các thông tin sai lệch về virus, Trojan và worm được phát hiện trên hệ thống. Và những thông báo này chỉ biến mất khi người dùng mua bản quyền.

Trước khi gỡ bỏ A-Fast Antivirus bằng các công cụ chuẩn của Windows, hãy đăng ký bản quyền của phần mềm bằng 1 trong những mã kích hoạt sau:

B0B302F772
C197C46C46
B20C1467B7
041E4B235A
25CCCC7329
9926220EED
A58EC19D33
C15F2FF276
F61E370D62
DDAD6A7A2C
9F8122FE00
3754DD9DA6
3DC52EA100
EE73BBFFA6
7E61C9C7DF
EE34D2E8A7
AA61971AA1
9D2510E3E8

Khi cài đặt, A-Fast Antivirus sẽ copy những file sau vào ổ cứng:

%UserProfile%\Local Settings\Application Data\[ký tự ngẫu nhiên]\
%UserProfile%\Local Settings\Application Data\[ký tự ngẫu nhiên]\[ký tự ngẫu nhiên]tssd.exe

Và khởi tạo những khóa sau trong registry:

HKEY_CURRENT_USERSoftwareA-fast
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem "DosableTaskMgr" = "1"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun "fast"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewall
PolicyStandardProfileAuthorizedApplicationsList "C:Program FilesA-fastA-fast.exe"

Màn hình chính của chương trình:

2. AKM Antivirus 2010 Pro

Cũng tương tự như A-Fast Antivirus, AKM Antivirus 2010 Pro có tính năng hoạt động và cách thức lây nhiễm vô cùng nhanh chóng. Chương trình còn được biết đến với cái tên là Your PC Protector.

Khi cài đặt vào hệ thống máy tính của nạn nhân, AKM Antivirus 2010 Pro sẽ copy những file sau vào ổ cứng:

%UserProfile%\Desktop\AKM Antivirus 2010 Pro.lnk
%UserProfile%\Start Menu\Programs\AKM Antivirus 2010 Pro
%UserProfile%\Start Menu\Programs\AKM Antivirus 2010 Pro\AKM Antivirus 2010 Pro.lnk
C:\Program Files\adc32.dll
C:\Program Files\alggui.exe
C:\Program Files\nuar.old
C:\Program Files\skynet.dat
C:\Program Files\svchost.exe
C:\Program Files\wp3.dat
C:\Program Files\wp4.dat
C:\Program Files\wpp.exe
C:\Program Files\AKM Antivirus 2010 Pro
C:\Program Files\AKM Antivirus 2010 Pro\AKM Antivirus 2010 Pro.exe
%Temp%\win1.tmp
%Temp%\win2.tmp

Và tiếp tục tạo ra khóa registry sau:

HKEY_CURRENT_USER\Software\AKM Antivirus 2010 Pro

Màn hình chính của ứng dụng:


3. ApcSafe

APcSafe (hay còn gọi là A Pc Safe) cũng là 1 dạng Rogue Security Software, cũng giống như 2 mẫu chương trình bên trên. Nhưng có 1 ít khác biệt ở đây là ApcSafe có hỗ trợ người dùng “chút ít” chức năng bảo vệ hệ thống. Thực chất, APcSafe là biến thể mới của dòng Winisoft, “tác giả” chính của APcSafe còn tạo ra những biến thể sau:

APcSecure, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcsProtector, GreatDefender, APCprotect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SiteVillain, LinkSafeness, SecureKeeper, AntiAID, System Warrior, System Veteran, System Fighter, Block Protector, Block Keeper, Block Scanner, Block Watcher, SoftBarrier, Shield Safeness, Soft Stronghold, Soft Veteran, SoftCop, Soft Soldier, Trust Fighter, Trust Soldier, Safe Fighter, Trust Cop, Secure Warrior, Secure Fighter, Secure Veteran, Security Soldier, Security Fighter, Save Armor, Save Defender, Trust Warrior, Soft Safeness, Safety Keeper, Save Keeper, Quick Heal Cleaner, System Cop, Block Defense, Save Defense, Trust Ninja, Save Soldier, Save Keep, Winishield, Wini Fighter, WiniBlueSoft.

Sau khi cài đặt thành công vào máy tính của nạn nhân, APcSafe sẽ tạo ra số lượng nhất định các file rỗng với dung lượng và tên gọi khác nhau. Và khi rà soát, APcSafe sẽ tự phát hiện những file đó là mã độc, có hại cho hệ thống và yêu cầu người dùng mua bản quyền đầy đủ của chương trình.

Chính xác APcSafe sẽ copy những file sau vào ổ cứng:

%ProgramFiles%\APcSafe Software\ApcSafe\ApcSafe.exe
%ProgramFiles%\APcSafe Software\ApcSafe\main_config.xml
%ProgramFiles%\APcSafe Software\ApcSafe\uninstall.exe
%AllUsersProfile%\Desktop\ApcSafe.lnk
%AllUsersProfile%\Start Menu\Programs\ApcSafe\1 ApcSafe.lnk
%AllUsersProfile%\Start Menu\Programs\ApcSafe\2 Homepage.lnk
%AllUsersProfile%\Start Menu\Programs\ApcSafe\3 Uninstall.lnk

và những khóa registry sau:

HKEY_LOCAL_MACHINE\software\ApcSafe
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\ApcSafe
HKEY_CURRENT_USER\software\ApcSafe
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run, “ApcSafe”
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, “ApcSafe”

Giao diện chính của ApcSafe:

4. ApcSecure

Với chức năng và cơ cấu có thể nói là giống hệt như ApcSafe, chương trình này được lây lan qua trang web www.apcsecure.com (địa chỉ này đã không còn tồn tại). ApcSecure là 1 biến thể mới của dòng Winiguard/Winisoft, bên cạnh đó còn những dạng khác như:

ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.

Giống như ApcSafe, khi cài đặt thành công vào máy tính nạn nhân, APcSecure sẽ tự động tạo ra số lượng nhất định các file rỗng với nhiều tên gọi khác nhau. Khi tiến hành rà soát, APcSecure sẽ tự động phát hiện ra đúng những file này và yêu cầu người dùng mua bản quyền chương trình để xóa bỏ tận gốc những file trên.

APcSecure sẽ copy những file sau vào ổ hệ thống:

%ProgramFiles%\APcSecure Software\APcSecure\APcSecure.exe
%ProgramFiles%\APcSecure Software\APcSecure\main_config.xml
%ProgramFiles%\APcSecure Software\APcSecure\uninstall.exe
%AllUsersProfile%\Desktop\APcSecure.lnk
%AllUsersProfile%\Start Menu\Programs\APcSecure\1 APcSecure.lnk
%AllUsersProfile%\Start Menu\Programs\APcSecure\2 Homepage.lnk
%AllUsersProfile%\Start Menu\Programs\APcSecure\3 Uninstall.lnk

Và những khóa registry sau:

HKEY_LOCAL_MACHINE\software\APcSecure
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\APcSecure
HKEY_CURRENT_USER\software\APcSecure HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run, “APcSecure”
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, “APcSecure”

Một số hình ảnh của chương trình:


5. AntiSpyware Soft

Khi thâm nhập thành công và cài đặt trên máy tính nạn nhân, AntiSpyware Soft sẽ liên tục đưa ra các thông điệp cảnh báo về virus, Trojan và worm được phát hiện trên hệ thống, người dùng sẽ không thể xóa hoặc tắt bỏ những thông tin này trừ khi mua bản quyền hoặc key kích hoạt của chương trình.

Trong quá trình cài đặt, AntiSpyware Soft sẽ copy file sau vào ổ cứng:

%Documents and Settings%\[UserName]\Local Settings\Application Data\[ký tự ngẫu nhiên]\[ký tự ngẫu nhiên]tssd.exe

Đồng thời tạo ra những khóa registry sau:

HKEY_CURRENT_USER\Software\AvScan
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “[random characters]“
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “[random characters]“
HKEY_CURRENT_USER\Software\avsoft
HKEY_CURRENT_USER\Software\avsuite
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "RunInvalidSignatures" ="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyOverride" = "<local>"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyServer" = "http=127.0.0.1:5555"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes" = ".exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments "SaveZoneInformation" = "1"

Giao diện chính của chương trình:

6. Antivir Solution Pro

Cũng giống như tất cả các chương trình độc hại trên, Antivir Solution Pro ngụy trang khéo léo thành phần mềm bảo mật hợp pháp, khiến cho người dùng dễ dàng tin tưởng và luôn luôn sử dụng. Chương trình được phát tán rộng rãi qua trang web http://antispybox.com/ và các đường link liên quan. Đây cũng là 1 dạng tự nhân bản của AVSecurity Suite, Antivirus Suite và Antivirus Soft. Khi quá trình rà soát bắt đầu, người sử dụng sẽ liên tục nhận được cảnh báo về viruses, Trojans và worms đang “hoành hành” trên hệ thống, và quá trình xử lý tận gốc chỉ được tiến hành khi người dùng mua key kích hoạt của chương trình.

Khi cài đặt vào hệ thống, Antivir Solution Pro sẽ copy file thực thi sau lên ổ cứng:

%UserProfile%\Local Settings\Application Data\%random%\%random%.exe

Và tạo những khóa registry sau:

HKEY_LOCAL_MACHINE\software\AVSolution
HKEY_LOCAL_MACHINE\software\AVSuitE
HKEY_CURRENT_USER\software\AVSolution
HKEY_CURRENT_USER\software\AVSuitE
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run, "%random%"
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, "%random%"
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Internet Settings
ProxyServer = http=127.0.0.1:5643
ProxyOverride = <local>
HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\PhishingFilter
EnabledV8 = 0×00000000 (0)
Enabled = 0×00000000 (0)

Một số hình ảnh của chương trình:


7. Antivirus

1 tên gọi rất chung chung – Antivirus, chương trình này có nét gì đó rất giống với APcSafe và ApcSecure, nguồn gốc lây nhiễm chính của mẫu ứng dụng độc hại này là trang web www.just-protect-pc.info (địa chỉ này đã không còn tồn tại). Cách thức lây nhiễm và hoạt động thì không có gì thay đổi, những cảnh báo về viruses, Trojans và worms phát hiện trên hệ thống liên tục được gửi đến người dùng.

Trong quá trình cài đặt, Antivirus sẽ copy nhưng file này lên ổ hệ thống:

%ProgramFiles%\Antivirus\AvBho.dll
%ProgramFiles%\Antivirus\Uninstall.exe
%ProgramFiles%\Antivirus\wscsvc32.exe
%ProgramFiles%\Antivirus\Antivirus.exe
%AllUsersProfile%\Desktop\Antivirus.lnk
%AllUsersProfile%\Start Menu\Programs\Antivirus\Antivirus.lnk
%AllUsersProfile%\Start Menu\Programs\Antivirus\Uninstall.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus.lnk
%UserProfile%\Local Settings\Temp\winupd64x.exe

Và tạo những khóa registry sau:

HKEY_LOCAL_MACHINE\software\Antivirus
HKEY_LOCAL_MACHINE\software\Classes\AvBho.AvBhoApp
HKEY_LOCAL_MACHINE\software\Classes\AvBho.AvBhoApp\CLSID
HKEY_LOCAL_MACHINE\software\Classes\AvBho.AvBhoApp\CurVer
HKEY_LOCAL_MACHINE\software\Classes\AvBho.AvBhoApp.1
HKEY_LOCAL_MACHINE\software\Classes\AvBho.AvBhoApp.1\CLSID
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-b35e-6816e68c3620}
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-b35e-6816e68c3620}\InprocServer32
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-b35e-6816e68c3620}\ProgID
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-b35e-6816e68c3620}\Programmable
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-b35e-6816e68c3620}\TypeLib
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-b35e-6816e68c3620}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\software\Classes\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}\ProxyStubClsid
HKEY_LOCAL_MACHINE\software\Classes\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\software\Classes\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}\TypeLib
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}\ProxyStubClsid
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}\TypeLib
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-4144-A0B6-59BD01372E26}
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-4144-A0B6-59BD01372E26}\1.0
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-4144-A0B6-59BD01372E26}\1.0\0
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-4144-A0B6-59BD01372E26}\1.0\0\win32
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-4144-A0B6-59BD01372E26}\1.0\FLAGS
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-4144-A0B6-59BD01372E26}\1.0\HELPDIR
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9d541c6a-573b-4888-b35e-6816e68c3620}
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\Antivirus
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, “Antivirus.exe”
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, “wscsvc32.exe”

Một số hình ảnh của chương trình:

8. Antivirus 7

Khác với chương trình giả mạo Antivirus, Antivirus 7 sẽ tự động tạo ra file thực thi của nó trong quá trình hệ thống khởi động, mỗi lần như vậy, người dùng sẽ thấy giao diện của Antivirus 7 hiện ra nhanh chóng rồi vụt tắt. Khi quét, Antivirus 7 luôn luôn phát hiện virus và các loại mã độc khác trong thư mục hệ thống (C:\Windows và C:\Windows\System32). Khi người sử dụng đồng ý mua bản quyền để xóa những file độc hại được phát hiện bên trên, Antivirus 7 sẽ tiếp tục lây lan vào các thư mục khác trên hệ thống (và các máy tính khác trong mạng nội bộ), trong khi đó Trojan đi kèm liên tục tải các biến thể khác của Antivirus 7 từ Internet.

Antivirus 7 sẽ tự động sao chép những file sau lên ổ cứng:

%Documents and Settings%\All Users\Start Menu\AV7
%Documents and Settings%\All Users\Start Menu\AV7\Antivirus7.lnk
%Documents and Settings%\All Users\Start Menu\AV7\Uninstall.lnk
%Program Files%\AV7
%Program Files%\AV7\antivirus7.exe
%WINDOWS%\SoftwareDistribution\DataStore\Logs\tmp.edb
%WINDOWS%\system32\UpdateExplorer.dll
%UserProfile%\Desktop\Antivirus7.lnk

và tạo những khóa registry sau:

HKEY_CURRENT_USER\Software\EVA246
HKEY_CLASSES_ROOT\CLSID\{E2BFE352-A303-4EA8-88FE-CE35361D7E8B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E2BFE352-A303-4EA8-88FE-CE35361D7E8B}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "AV7"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform "WinNT-EVI 12.03.2010"


9. AntivirusGT

Nếu so sánh với các mẫu ứng dụng trên thì AntivirusGT có thể coi là 1 bản sao hoàn chỉnh của Antivirus7. Khi quá trình rà soát bắt đầu, AntivirusGT sẽ tự tạo và phát hiện ra các thông báo sai lệch về tình trạng và số lượng virus, Trojan và worm.

Sau khi cài đặt thành công lên máy tính của nạn nhân, AntivirusGT sẽ tự động sao chép các file sau lên ổ cứng:

%ProgramFiles%\AVGT\AntivirusGT.exe
%AllUsersProfile%\Start Menu\AVGT\AntivirusGT.lnk
%AllUsersProfile%\Start Menu\AVGT\Uninstall.lnk
%UserProfile%\Desktop\AntivirusGT.lnk

và tạo những khóa registry sau:

HKEY_CURRENT_USER\software\EVA50C
HKEY_CURRENT_USER\software\WinV2
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, "AVGT"

Một số hình ảnh của chương trình:

10. Antivirus Soft

Antivirus Soft cũng được liệt vào hàng Rogue Security Software – phần mềm an ninh giả mạo, khi ngụy trang khéo léo thành 1 trong những ứng dụng an toàn đối với những người dùng ít kinh nghiệm, như chương trình quét virus hoặc rà soát registry. Nguồn gốc phát tán ứng dụng độc hại này là trang web www.newsoftspot.com (địa chỉ này đã không còn tồn tại). Cũng như tất cả các phần mềm giả mạo được liệt kê bên trên, Antivirus Soft khi hoạt động sẽ liên tục hiển thị các thông báo sai lệch về viruses, Trojans và worms. Nếu người dùng không mua key kích hoạt thì sẽ không tắt bỏ được các thông báo phiền phức đó.

Khi cài đặt vào hệ thống, Antivirus Soft sẽ tiến hành sao chép các file sau lên ổ cứng:

%UserProfile%\Local Settings\Application Data\%random%\%random%sftav.exe

và những khóa registry sau:

HKEY_CURRENT_USER\software\avsoft
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run, %random%
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, %random%

Một số hình ảnh của Antivirus Soft:


11. Antivirus Suite

Antivirus Suite – đã và vẫn đang là 1 trong những hiểm họa lây lan nhanh, mạnh nhất hiện nay. Với những người dùng không cảnh giác hoặc ít kinh nghiệm. Khi Antivirus Suite hoạt động, chương trình sẽ chỉ hiển thị những thông báo sai sự thực về viruses, Trojans và worms được phát hiện trên hệ thống. Chỉ khi người dùng mua bản quyền hoặc key kích hoạt, những thông báo này mới biến mất.

Antivirus Suite sẽ sao chép những file sau lên ổ hệ thống sau khi cài đặt:

%UserProfile%\Local Settings\Application Data\[ký tự ngẫu nhiên]\
%UserProfile%\Local Settings\Application Data\[ký tự ngẫu nhiên]\[ký tự ngẫu nhiên]tssd.exe

Đồng thời tạo những khóa registry sau:

HKEY_CURRENT_USER\Software\avsuite
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "RunInvalidSignatures" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyOverride" = "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyServer" = "http=127.0.0.1:5555"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes" = ".exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments "SaveZoneInformation" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "<random>"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "<random>"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "CheckExeSignatures" = "no"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyEnable" = "1"

Giao diện chính của chương trình:

12. ByteDefender

Thực chất, đây là 1 chương trình malware độc hại, khi cài đặt chúng sẽ tiếp tục “gọi” Trojan về máy tính của nạn nhân qua hình thức các gói codec audio hoặc video – tất nhiên cũng là giả mạo. Khi được cài đặt thành công, ByteDefender sẽ liên tục thực hiện các lượt quét trên hệ thống, đồng thời hiển thị các thông tin hoàn toàn sai lệch về tình trạng an ninh của máy tính. Mục đích chính của quá trình này là “dụ dỗ” người dùng nhấn vào các đường dẫn quảng cáo hoặc mua bản quyền đầy đủ để được sử dụng toàn bộ chức năng của ByteDefender.

Byte Defender thực chất là 1 biến thể mới của dòng Winiguard/Winisoft, ngụy trang trên hệ thống máy tính thành ứng dụng an toàn và bảo mật, tương tự như 1 ứng dụng quét virus hoặc sửa chữa registry hệ thống (hay gọi chung là Rogue Security Software). Đồng thời, nó còn tạo ra các biến thể phần mềm giả mạo sau đây:

PcsSecure, APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.

Sau khi Byte Defender được cài đặt vào hệ thống, ứng dụng này sẽ tự động tạo ra các file thừa với rất nhiều các tên gọi khác nhau. Khi người sử dụng kích hoạt tính năng quét toàn bộ hệ thống, Byte Defender sẽ liên tục tạo ra các thông điệp cảnh báo về virus, Trojan và worm sớm hơn trước khi chính thức tạo ra những file độc hại này. Đồng thời, những thông điệp này sẽ không bao giờ biến mất trừ khi người dùng mua bản quyền của chương trình.

Trong quá trình cài đặt, Byte Defender sẽ copy những file sau vào ổ cứng:

%ProgramFiles%\ByteDefender Software\ByteDefender\ByteDefender.exe
%ProgramFiles%\ByteDefender Software\ByteDefender\Uninstall.exe
%ProgramFiles%\ByteDefender Software\ByteDefender\always_delete.xml
%ProgramFiles%\ByteDefender Software\ByteDefender\always_skip.xml
%ProgramFiles%\ByteDefender Software\ByteDefender\quarantine\quarantine.xml
%AllUsersProfile%\Start Menu\Programs\ByteDefender.lnk
%UserProfile%\Desktop\ByteDefender.lnk

Và tiếp tục tạo thêm những khóa sau trong hệ thống registry:

HKEY_LOCAL_MACHINE\software\ByteDefender
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\ByteDefender
HKEY_CURRENT_USER\software\ByteDefender
HKEY_CURRENT_USER\software\ByteDefender\agents
HKEY_CURRENT_USER\software\ByteDefender\general
HKEY_CURRENT_USER\software\ByteDefender\realtime
HKEY_CURRENT_USER\software\ByteDefender\scanner
HKEY_CURRENT_USER\software\ByteDefender\tasks
HKEY_CURRENT_USER\software\ByteDefender\tasks\0
HKEY_CURRENT_USER\software\ByteDefender\tasks\1
HKEY_CURRENT_USER\software\ByteDefender\updates
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run, "ByteDefender"
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, "ByteDefender".

Thứ Hai, 02/08/2010 08:21
31 👨 911