Trang chủĐăng kýĐăng nhập Cộng đồng tin học
Thứ 4, 2018-08-15, 5:03 PM
Khung đăng nhập

http://congdongtinhoc.net
Site menu

Chuyên mục
Phần cứng - Drivers [46]
Điểm Game [37]
Tin tức - Sự kiện [128]
Bảo mật - Security [104]
Mạng Lan, WAN - Internet [44]
Phần mềm tiện ích miễn phí [51]
Điện thoại - Thiết bị số [54]
Máy tính xách tay - Laptop [71]
Tin học văn phòng - MS Office [19]
Đồ họa - thiết kế [27]
Thủ thuật máy tính [116]
Kiến thức cơ bản [48]
Hệ điều hành [51]

Bài viết lưu trữ

Tìm kiếm

Từ khóa tìm kiếm
Email thủ thuật Apple bảo mật Adobe windows 7 tăng tốc tang toc Microsoft windows xp hệ điều hành Laptop acer Lenovo sony compaq netbook miễn phí Wi-Fi download trình duyệt Google Chrome internet Firefox 3.5 Microsoft Office Chrome Internet Explorer 8 safari Công cụ cấu hình dịch vụ google IE virus spyware Bing khám phá firefox 3.6 lỗ hổng zero-day máy tính khắc phục sự cố cập nhật trojan linux ubuntu windows vista Registry Windows tiện ích pc Core i7 bộ xử lý activex control HP nâng cấp thu thuat Mozilla Toshiba Mac dell Việt Nam twitter hotmail intel phần cứng phan cung hacker USB facebook Symantec thiết bị số điện thoại di động Top 10 office card đồ họa Card đồ hoạ IpoD 3G asus mạng xã hội mien phi Blackberry game AMD nVIDIA iphone chỉnh sửa ảnh wan ROUTER hệ thống opera psp Wii hành động Xbox 360 firefox Internet Explorer Android cảm ứng

Bài mới diễn đàn
  • BIDV triển khai gói 10.000 tỷ đồng cho v...
  • cho em quảng cáo cái
  • Kinh nghiệm cài Windows XP cho netbook
  • Máy của em đây,em muốn mua Ram,các anh t...
  • Visual Basic v6.0sp6 (With Components)
  • Tối nay tao đốt nhà mày
  • VALENTINE: Cách được hôn bạn gái cho nhữ...
  • Students PSD template
  • Ebook - Hướng dẫn làm web bằng ASP.net
  • Cấm đăng nhập Yahoo! Messenger chỉ với m...

  • User tích cực
  • Hung@info
  • thangbom
  • Hung@webmater
  • hebeo
  • giodaingan
  • david15
  • whitecat
  • luutruthongtin
  • vunguyenblue179
  • pham2408

  • Lịch
    «  Tháng 8 2010  »
    SuMoTuWeThFrSa
    1234567
    891011121314
    15161718192021
    22232425262728
    293031

    Thăm dò ý kiến
    Rate my site
    Total of answers: 12

    Địa chỉ của bạn
    IP

    Thống kê

    Tổng số trực tuyến: 1
    Khách: 1
    Thành viên: 0

    Trang chủ » 2010 » Tháng 8 » 4 » Một số phần mềm an ninh giả mạo phổ biến hiện nay - Phần II
    9:55 AM
    Một số phần mềm an ninh giả mạo phổ biến hiện nay - Phần II

    Thuật ngữ phần mềm an ninh giả mạo - Rogue security software, là 1 dạng chương trình độc hại – malware của máy tính, sau khi lây nhiễm vào hệ thống của nạn nhân, ứng dụng sẽ hiển thị những thông tin sai lệch về tình trạng an ninh hiện thời, và dụ dỗ người dùng bỏ tiền ra để mua bản quyền của chính những phần mềm giả mạo này. Trong vài năm gần đây, số lượng người dùng mắc phải chiếc bẫy này ngày càng tăng lên, đặc biệt là những người sử dụng desktop. Sau đây là danh sách sắp xếp theo thứ tự bảng chữ cái của 1 số chương trình giả mạo phổ biến hiện nay:

    13. CleanUP Antivirus

    Bên cạnh những tác hại như các chương trình độc hại đã được miêu tả trên, CleanUP Antivirus thực chất có cung cấp cho người dùng chút ít bảo vệ ở mức tối thiểu. Khi cài đặt thành công, CleanUP Antivirus sẽ tự tạo đường dẫn khởi động cùng hệ thống. Và mỗi lần máy tính khởi động, CleanUP Antivirus lại tự quét toàn bộ máy tính, đồng thời liên tục sao chép những file rác vào khắp nơi trên ổ cứng. Mặt khác, khi quá trình rà soát được kích hoạt, CleanUP Antivirus lại tự phát hiện chính những file đó là virus, Trojan hoặc worm, và yêu cầu người dùng mua bản quyền kích hoạt của chương trình.

    Sau khi cài đặt thành công lên máy tính của nạn nhân, CleanUP Antivirus sẽ sao chép những file sau lên ổ cứng:

    %AllUsersProfile%\Application Data\58969\CUf4c.exe
    %AllUsersProfile%\Application Data\58969\CUA.ico
    %AllUsersProfile%\Application Data\CUQKWA\CUZNJUENEA.cfg
    %UserProfile%\Application Data\CleanUp Antivirus\Instructions.ini
    %UserProfile%\Application Data\CleanUp Antivirus\cookies.sqlite
    %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\CleanUp Antivirus.lnk
    %UserProfile%\Desktop\CleanUp Antivirus.lnk
    %UserProfile%\Start Menu\CleanUp Antivirus.lnk
    %UserProfile%\Start Menu\Programs\CleanUp Antivirus.lnk

    Đồng thời tạo những bản ghi sai lệch sau vào file hệ thống Hosts:

    74.125.45.100 4-open-davinci.com
    74.125.45.100 securitysoftwarepayments.com
    74.125.45.100 privatesecuredpayments.com
    74.125.45.100 secure.privatesecuredpayments.com
    74.125.45.100 getantivirusplusnow.com
    74.125.45.100 secure-plus-payments.com
    74.125.45.100 www.getantivirusplusnow.com
    74.125.45.100 www.secure-plus-payments.com
    74.125.45.100 www.getavplusnow.com
    74.125.45.100 safebrowsing-cache.google.com
    74.125.45.100 urs.microsoft.com
    74.125.45.100 www.securesoftwarebill.com
    74.125.45.100 secure.paysecuresystem.com
    74.125.45.100 paysoftbillsolution.com
    74.125.45.100 protected.maxisoftwaremart.com

    Bên cạnh đó, còn tạo và ghi rất nhiều những khóa registry sau:

    Bảng khóa registry

    Giao diện chính của CleanUp Antivirus:

    14. Control Components

    Control Components cũng được liệt vào danh sách những phần mềm an ninh giả mạo, với phương thức hoạt động và lây lan không khác gì so với những mẫu trên.

    Sau khi cài đặt trên máy tính nạn nhân, Control Components sẽ sao chép toàn bộ những file sau vào phân vùng hệ thống:

    %UserProfile%\Application Data\Control Components\settings.ini
    %UserProfile%\Application Data\Control Components\uninstall.exe
    %UserProfile%\Application Data\Control Components\ccagent.exe
    %UserProfile%\Application Data\Control Components\ccmain.exe
    %UserProfile%\Application Data\Control Components\faq\guide.html
    %UserProfile%\Application Data\Control Components\faq\images\06.png
    %UserProfile%\Application Data\Control Components\faq\images\07.png
    %UserProfile%\Application Data\Control Components\faq\images\08.png
    %UserProfile%\Application Data\Control Components\faq\images\09.png
    %UserProfile%\Application Data\Control Components\faq\images\10.png
    %UserProfile%\Application Data\Control Components\faq\images\05.png
    %UserProfile%\Desktop\Control Components.lnk

    Đồng thời tạo tiếp những khóa registry sau:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Control Components
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "ccagent.exe"

    Một số hình ảnh của chương trình:


    15. Digital Protection

    Cũng như các phần mềm độc hại đã được liệt kê ở trên, Digital Protection là 1 dạng biến thể mới của dòng CoreGuard, ngoài ra còn có các biến thể cùng dạng như: Your Protection, User Protection, Dr. Guard, Paladin Antivirus.

    Khi cài đặt vào hệ thống máy tính của nạn nhân, Digital Protection sẽ liên tục sao chép những file rác sau:

    %Documents and Settings%\[UserName]\Desktop\Digital Protection Support.lnk
    %Documents and Settings%\[UserName]\Desktop\Digital Protection.lnk
    %Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection
    %Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\About.lnk
    %Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Activate.lnk
    %Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Buy.lnk
    %Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Digital Protection Support.lnk
    %Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Digital Protection.lnk
    %Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Scan.lnk
    %Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Settings.lnk
    %Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Update.lnk
    %Documents and Settings%\[UserName]\Application Data\Microsoft\Internet Explorer\Quick Launch\Digital Protection.lnk
    %Program Files%\Digital Protection\
    %Program Files%\Digital Protection\about.ico
    %Program Files%\Digital Protection\activate.ico
    %Program Files%\Digital Protection\buy.ico
    %Program Files%\Digital Protection\digprot.exe
    %Program Files%\Digital Protection\help.ico
    %Program Files%\Digital Protection\scan.ico
    %Program Files%\Digital Protection\settings.ico
    %Program Files%\Digital Protection\splash.mp3
    %Program Files%\Digital Protection\uninstall.exe
    %Program Files%\Digital Protection\update.ico
    %Program Files%\Digital Protection\virus.mp3
    %WINDOWS%\System32\zq5e7t.dll
    %WINDOWS%\System32\vurrozj.dll
    %WINDOWS%\Temp\avp.exe
    %WINDOWS%\Temp\[tên gọi ngẫu nhiên].exe

    Và tiếp tục tạo ra những khóa registry sau:

    HKEY_LOCAL_MACHINE\software\Digital Protection
    HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\Digital Protection
    HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, "Digital Protection"

    Một số hình ảnh chính của Digital Protection:

    16. ErrorFix

    Được phát tán và lây lan rộng rãi qua trang web www.errorfix.org (địa chỉ này đã không còn tồn tại), tác giả của ErrorFix đồng thời tạo ra thêm công cụ RegTool, cả 2 mẫu này đều được phát hiện bởi Kaspersky Lab và nhận diện không phải là virus: FraudTool.Win32.ErrorFix.b.

    Khi được cài đặt thành công vào máy tính, ErrorFix sẽ liên tục hiển thị những thông tin về lỗi registry cực kỳ nghiêm trọng của Windows, và chỉ khi người dùng đồng ý mua key kích hoạt bản quyền, chương trình sẽ tự động khắc phục những lỗi nghiêm trọng đó.

    ErrorFix sẽ sao chép những file sau lên ổ cứng sau khi cài đặt:

    ErrorFix.exe
    Icon.exe
    definitions.db
    privacy.db
    ErrorFix.url
    ErrorFix.lnk
    ErrorFix Help.lnk
    ErrorFix on the Web.lnk
    ErrorFix Scan.job

    Đồng thời tạo tiếp những khóa trong registry sau:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"ErrorFix" = "C:\Program Files\ErrorFix\ErrorFix.exe -boot"
    HKEY_CURRENT_USER\Software\ErrorFix
    HKEY_LOCAL_MACHINE\SOFTWARE\ErrorFix
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{83A867EF-8D2E-4CAF-A1DD-B3996724CF78}
    HKEY_CLASSES_ROOT\Installer\UpgradeCodes\2B6D4FBB6D32BEA409CCCEDDDBC9E08E
    HKEY_CLASSES_ROOT\Installer\Features\FE768A38E2D8FAC41ADD3B997642FC87
    HKEY_CLASSES_ROOT\Installer\Products\FE768A38E2D8FAC41ADD3B997642FC87

    Giao diện chính của chương trình:


    17. GuardWWW

    GuardWWW, với cách thức ngụy trang khéo léo, chương trình đã lây lan rất nhanh chóng và dễ dàng vào rất nhiều hệ thống máy tính của người dùng khắp nơi trên thế giới. Được phát tán rộng rãi qua trang web www.guardwww.com (địa chỉ này đã không còn tồn tại), là 1 dạng biến thể mới của dòng Winiguard/Winisoft, bên cạnh đó còn những ứng dụng độc hại đi kèm như:

    PcsSecure, APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.

    Khi cài đặt vào hệ thống, GuardWWW sẽ tự động tạo ra 1 số lượng nhất định các file rỗng với các tên gọi khác nhau, và khi tiến hành rà soát, GuardWWW sẽ phát hiện chính những file này là mã đọc và virus, đồng thời yêu cầu người dùng mua bản quyền, key kích hoạt để "điều trị” tận gốc.

    GuardWWW sẽ tự động sao chép những file sau lên ổ cứng:

    %ProgramFiles%\GuardWWW Software\GuardWWW\always_delete.xml
    %ProgramFiles%\GuardWWW Software\GuardWWW\always_skip.xml
    %ProgramFiles%\GuardWWW Software\GuardWWW\GuardWWW.exe
    %ProgramFiles%\GuardWWW Software\GuardWWW\main_config.xml
    %ProgramFiles%\GuardWWW Software\GuardWWW\uninstall.exe
    %ProgramFiles%\GuardWWW Software\GuardWWW\quarantine\quarantine.xml
    %AllUsersProfile%\Desktop\GuardWWW.lnk
    %AllUsersProfile%\Start Menu\Programs\GuardWWW\2 Homepage.lnk
    %AllUsersProfile%\Start Menu\Programs\GuardWWW\3 Uninstall.lnk
    %AllUsersProfile%\Start Menu\Programs\GuardWWW\1 GuardWWW.lnk
    %UserProfile%\Cookies\userdemo@guardwww[1].txt

    Đồng thời tạo những khóa sau trong registry:

    HKEY_LOCAL_MACHINE\software\GuardWWW
    HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\GuardWWW
    HKEY_CURRENT_USER\software\GuardWWW
    HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run, "GuardWWW”
    HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, "GuardWWW”

    Một số hình ảnh của GuardWWW:

    18. MyPcSecure

    MyPcSecure – 1 trong những ứng dụng an ninh giả mạo, được phát tán rộng rãi qua địa chỉ www.mypcsecure.com (địa chỉ này đã không còn tồn tại). Thực chất, đây là 1 biến thể mới của dòng Winiguard/Winisoft, bên cạnh đó là những dạng phổ biến sau:

    PcsSecure, APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.

    Sau khi hoàn tất quá trình cài đặt vào hệ thống, MyPcSecure sẽ tạo ra 1 số lượng nhất định các file rỗng với nhiều tên gọi khác nhau, và khi tiến hành quét toàn bộ, MyPcSecure sẽ phát hiện và báo cáo những file đó là mã độc, đồng thời yêu cầu người sử dụng mua key kích hoạt để xóa bỏ những file độc hại đó.

    Những file sinh ra trong quá trình MyPcSecure cài đặt:

    %ProgramFiles%\MyPcSecure Software\MyPcSecure\always_delete.xml
    %ProgramFiles%\MyPcSecure Software\MyPcSecure\always_skip.xml
    %ProgramFiles%\MyPcSecure Software\MyPcSecure\main_config.xml
    %ProgramFiles%\MyPcSecure Software\MyPcSecure\MyPcSecure.exe
    %ProgramFiles%\MyPcSecure Software\MyPcSecure\uninstall.exe
    %ProgramFiles%\MyPcSecure Software\MyPcSecure\quarantine\quarantine.xml
    %AllUsersProfile%\Desktop\MyPcSecure.lnk
    %AllUsersProfile%\Start Menu\Programs\MyPcSecure\2 Homepage.lnk
    %AllUsersProfile%\Start Menu\Programs\MyPcSecure\3 Uninstall.lnk
    %AllUsersProfile%\Start Menu\Programs\MyPcSecure\1 MyPcSecure.lnk
    %UserProfile%\Cookies\userdemo@mypcsecure[1].txt

    Đồng thời tạo ra các key registry sao:

    HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\MyPcSecure
    HKEY_LOCAL_MACHINE\software\MyPcSecure
    HKEY_CURRENT_USER\software\MyPcSecure
    HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run, "MyPcSecure”
    HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, "MyPcSecure”

    Một số hình ảnh của chương trình:


    Chuyên mục: Bảo mật - Security | Lượt xem: 301 | Thêm bởi: Hung@info | Tags: rogue security software, phân biệt, Hướng Dẫn, kỹ thuật, phần mềm giả mạo, An ninh | Đánh giá: 0.0/0
    Đăng nhập để bình luận.
    [ Đăng ký | Đăng nhập ]
    + Các bài viết khác

      Copyright Cộng đồng tin học © 2018