Trang chủ » 2010 » Tháng 8 » 4 » Một số phần mềm an ninh giả mạo phổ biến hiện nay - Phần IV
10:07 AM
Một số phần mềm an ninh giả mạo phổ biến hiện nay - Phần IV
21. PcSecureNet
PcSecureNet là 1 dạng biến thể mới của dòng Winiguard/Winisoft, được phát tán và lây lan rộng rãi qua địa chỉ www.pcsecurenet.com (đã không còn tồn tại), bên cạnh đó còn những biến thể đáng chú ý sau:
Với cách thức lây lan khá phổ biến, PcSecureNet sẽ liên tục tạo ra số
lượng file rỗng nhất định với nhiều tên gọi khác nhau sau khi cài đặt
thành công vào máy tính của nạn nhân. Và khi người dùng tiến hành quét
toàn bộ hệ thống, PcSecureNet sẽ phát hiện và cảnh báo những file đó là
mã độc, và "dụ dỗ” người dùng mua bản quyền hoặc key kích hoạt.
Những file sau được tạo ra và sao chép trong quá trình cài đặt:
PcsSecure – cũng tương tự như PcSecureNet, là 1 dạng biến thể của Winiguard/Winisoft, được phát tán và lây truyền qua địa chỉ www.pcssecure.com (đã không còn tồn tại), bên cạnh đó còn khá nhiều biến thể tương đương như:
Sau khi xâm nhập và cài đặt thành công vào máy tính của nạn nhân,
PcsSecure sẽ tự tạo ra 1 số lượng nhất định các file rỗng với các tên
gọi khác nhau, mỗi khi quét, PcsSecure sẽ cảnh báo người dùng về những
file này là mã độc hoặc virus, và chỉ chờ người dùng đồng ý mua bản
quyền hoặc mã kích hoạt.
Được phát tán rộng rãi qua nguồn www.protectdefender.com (địa
chỉ này đã không còn tồn tại), ProtectDefender cũng là 1 dạng biến thể
của "gia đình” Winiguard/Winisoft phổ biến, bên cạnh đó có thể kể đến
các "đồng nghiệp” sau:
Khi thâm nhập thành công vào máy tính của nạn nhân, ProtectDefender
sẽ liên tục tạo ra số lượng nhất định những file rỗng trong thư mục hệ
thống C:\Windows và C:\Windows\System32, và đương
nhiên, khi khởi động hoặc quét toàn bộ hệ thống, ProtectDefender sẽ cảnh
báo đã phát hiện rất nhiều mã độc trong máy tính, đồng thời yêu cầu
người sử dụng mua bản quyền hoặc mã kích hoạt.
Những file sau được ProtectDefender tạo ra trong quá trình cài đặt:
Là 1 phần mềm an ninh giả mạo, khéo léo ngụy trang thành ứng dụng
quét virus và rà soát hệ thống registry trong Windows. RegistryFox được
phát tán rộng rãi qua trang web www.registryfox.com, nhưng lại được Kaspersky Lab phát hiện rằng không phải dòng virus FraudTool.Win32.RegistryFox.a.
Khi được cài đặt thành công vào máy tính của nạn nhân, RegistryFox sẽ
liên tục tạo ra các thông tin cảnh báo sai lệch về tình trạng lỗi
nghiêm trọng trong registry của hệ điều hành. Chỉ khi người dùng đồng ý
mua key kích hoạt bản quyền, RegistryFox sẽ dừng thông báo và "khắc
phục” những lỗi đó.
RegistryFox sẽ sao chép những file sau lên máy tính của nạn nhân:
C:\Config.Msi\4f7ea.rbs
%ProgramFiles%\RegistryFox
%ProgramFiles%\RegistryFox\RegistryFox.url
%ProgramFiles%\RegistryFox\RegistryFox.exe
%ProgramFiles%\RegistryFox\TCL.dll
%ProgramFiles%\RegistryFox\RegCleaner.dll
%ProgramFiles%\RegistryFox\DataBase.ref
%ProgramFiles%\RegistryFox\zlib.dll
%AllUsers%\Start Menu\Programs\RegistryFox
%AllUsers%\Start Menu\Programs\RegistryFox\RegistryFox.lnk
%AllUsers%\Desktop\RegistryFox.lnk
%AllUsers%\Start Menu\Programs\RegistryFox\RegistryFox on the Web.lnk
C:\WINDOWS\Installer\4f7eb.msi
và khóa registry chính sau:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Registry Fox