Trang chủ » 2010 » Tháng 8 » 4 » Một số phần mềm an ninh giả mạo phổ biến hiện nay - Phần I
9:52 AM
Một số phần mềm an ninh giả mạo phổ biến hiện nay - Phần I
Thuật ngữ phần mềm an ninh giả mạo - Rogue security software,
là 1 dạng chương trình độc hại – malware của máy tính, sau khi lây
nhiễm vào hệ thống của nạn nhân, ứng dụng sẽ hiển thị những thông tin
sai lệch về tình trạng an ninh hiện thời, và dụ dỗ người dùng
bỏ tiền ra để mua bản quyền của chính những phần mềm giả mạo này. Trong
vài năm gần đây, số lượng người dùng mắc phải chiếc bẫy này ngày càng
tăng lên, đặc biệt là những người sử dụng desktop. Sau đây là danh sách
sắp xếp theo thứ tự bảng chữ cái của 1 số chương trình giả mạo phổ biến
hiện nay:
1. A-Fast Antivirus
Là 1 chương trình an ninh giả mạo khá nguy hiểm và dễ dàng lây lan,
khi cài đặt thành công vào máy tính nạn nhân, chương trình sẽ tiến hành
quét toàn bộ khóa registry, liên tục hiển thị các thông tin sai lệch về
virus, Trojan và worm được phát hiện trên hệ thống. Và những thông báo
này chỉ biến mất khi người dùng mua bản quyền.
Trước khi gỡ bỏ A-Fast Antivirus bằng các công cụ chuẩn của Windows,
hãy đăng ký bản quyền của phần mềm bằng 1 trong những mã kích hoạt sau:
Khi cài đặt, A-Fast Antivirus sẽ copy những file sau vào ổ cứng:
%UserProfile%\Local Settings\Application Data\[ký tự ngẫu nhiên]\
%UserProfile%\Local Settings\Application Data\[ký tự ngẫu nhiên]\[ký tự ngẫu nhiên]tssd.exe
Cũng tương tự như A-Fast Antivirus, AKM Antivirus 2010 Pro có tính
năng hoạt động và cách thức lây nhiễm vô cùng nhanh chóng. Chương trình
còn được biết đến với cái tên là Your PC Protector.
Khi cài đặt vào hệ thống máy tính của nạn nhân, AKM Antivirus 2010 Pro sẽ copy những file sau vào ổ cứng:
Khi thâm nhập thành công và cài đặt trên máy tính nạn nhân,
AntiSpyware Soft sẽ liên tục đưa ra các thông điệp cảnh báo về virus,
Trojan và worm được phát hiện trên hệ thống, người dùng sẽ không thể xóa
hoặc tắt bỏ những thông tin này trừ khi mua bản quyền hoặc key kích
hoạt của chương trình.
Trong quá trình cài đặt, AntiSpyware Soft sẽ copy file sau vào ổ cứng:
%Documents and Settings%\[UserName]\Local Settings\Application Data\[ký tự ngẫu nhiên]\[ký tự ngẫu nhiên]tssd.exe
Cũng giống như tất cả các chương trình độc hại trên, Antivir Solution
Pro ngụy trang khéo léo thành phần mềm bảo mật hợp pháp, khiến cho
người dùng dễ dàng tin tưởng và luôn luôn sử dụng. Chương trình được
phát tán rộng rãi qua trang web http://antispybox.com/ và các đường link
liên quan. Đây cũng là 1 dạng tự nhân bản của AVSecurity Suite,
Antivirus Suite và Antivirus Soft. Khi quá trình rà soát bắt đầu, người
sử dụng sẽ liên tục nhận được cảnh báo về viruses, Trojans và worms đang
"hoành hành” trên hệ thống, và quá trình xử lý tận gốc chỉ được tiến
hành khi người dùng mua key kích hoạt của chương trình.
Khi cài đặt vào hệ thống, Antivir Solution Pro sẽ copy file thực thi sau lên ổ cứng:
1 tên gọi rất chung chung – Antivirus, chương trình này có nét gì đó
rất giống với APcSafe và ApcSecure, nguồn gốc lây nhiễm chính của mẫu
ứng dụng độc hại này là trang web www.just-protect-pc.info (địa chỉ này
đã không còn tồn tại). Cách thức lây nhiễm và hoạt động thì không có gì
thay đổi, những cảnh báo về viruses, Trojans và worms phát hiện trên hệ
thống liên tục được gửi đến người dùng.
Trong quá trình cài đặt, Antivirus sẽ copy nhưng file này lên ổ hệ thống:
Khác với chương trình giả mạo Antivirus, Antivirus 7 sẽ tự động tạo
ra file thực thi của nó trong quá trình hệ thống khởi động, mỗi lần như
vậy, người dùng sẽ thấy giao diện của Antivirus 7 hiện ra nhanh chóng
rồi vụt tắt. Khi quét, Antivirus 7 luôn luôn phát hiện virus và các loại
mã độc khác trong thư mục hệ thống (C:\Windows và C:\Windows\System32).
Khi người sử dụng đồng ý mua bản quyền để xóa những file độc hại được
phát hiện bên trên, Antivirus 7 sẽ tiếp tục lây lan vào các thư mục khác
trên hệ thống (và các máy tính khác trong mạng nội bộ), trong khi đó
Trojan đi kèm liên tục tải các biến thể khác của Antivirus 7 từ
Internet.
Antivirus 7 sẽ tự động sao chép những file sau lên ổ cứng:
%Documents and Settings%\All Users\Start Menu\AV7
%Documents and Settings%\All Users\Start Menu\AV7\Antivirus7.lnk
%Documents and Settings%\All Users\Start Menu\AV7\Uninstall.lnk
%Program Files%\AV7
%Program Files%\AV7\antivirus7.exe
%WINDOWS%\SoftwareDistribution\DataStore\Logs\tmp.edb
%WINDOWS%\system32\UpdateExplorer.dll
%UserProfile%\Desktop\Antivirus7.lnk
Nếu so sánh với các mẫu ứng dụng trên thì AntivirusGT có thể coi là 1
bản sao hoàn chỉnh của Antivirus7. Khi quá trình rà soát bắt đầu,
AntivirusGT sẽ tự tạo và phát hiện ra các thông báo sai lệch về tình
trạng và số lượng virus, Trojan và worm.
Sau khi cài đặt thành công lên máy tính của nạn nhân, AntivirusGT sẽ tự động sao chép các file sau lên ổ cứng:
Antivirus Soft cũng được liệt vào hàng Rogue Security Software – phần
mềm an ninh giả mạo, khi ngụy trang khéo léo thành 1 trong những ứng
dụng an toàn đối với những người dùng ít kinh nghiệm, như chương trình
quét virus hoặc rà soát registry. Nguồn gốc phát tán ứng dụng độc hại
này là trang web www.newsoftspot.com (địa chỉ này đã không còn
tồn tại). Cũng như tất cả các phần mềm giả mạo được liệt kê bên trên,
Antivirus Soft khi hoạt động sẽ liên tục hiển thị các thông báo sai lệch
về viruses, Trojans và worms. Nếu người dùng không mua key kích hoạt
thì sẽ không tắt bỏ được các thông báo phiền phức đó.
Khi cài đặt vào hệ thống, Antivirus Soft sẽ tiến hành sao chép các file sau lên ổ cứng:
Antivirus Suite – đã và vẫn đang là 1 trong những hiểm họa lây lan
nhanh, mạnh nhất hiện nay. Với những người dùng không cảnh giác hoặc ít
kinh nghiệm. Khi Antivirus Suite hoạt động, chương trình sẽ chỉ hiển thị
những thông báo sai sự thực về viruses, Trojans và worms được phát hiện
trên hệ thống. Chỉ khi người dùng mua bản quyền hoặc key kích hoạt,
những thông báo này mới biến mất.
Antivirus Suite sẽ sao chép những file sau lên ổ hệ thống sau khi cài đặt:
%UserProfile%\Local Settings\Application Data\[ký tự ngẫu nhiên]\
%UserProfile%\Local Settings\Application Data\[ký tự ngẫu nhiên]\[ký tự ngẫu nhiên]tssd.exe
Thực chất, đây là 1 chương trình malware độc hại, khi cài đặt chúng
sẽ tiếp tục "gọi” Trojan về máy tính của nạn nhân qua hình thức các gói
codec audio hoặc video – tất nhiên cũng là giả mạo. Khi được cài đặt
thành công, ByteDefender sẽ liên tục thực hiện các lượt quét trên hệ
thống, đồng thời hiển thị các thông tin hoàn toàn sai lệch về tình trạng
an ninh của máy tính. Mục đích chính của quá trình này là "dụ dỗ” người
dùng nhấn vào các đường dẫn quảng cáo hoặc mua bản quyền đầy đủ để được
sử dụng toàn bộ chức năng của ByteDefender.
Byte Defender thực chất là 1 biến thể mới của dòng
Winiguard/Winisoft, ngụy trang trên hệ thống máy tính thành ứng dụng an
toàn và bảo mật, tương tự như 1 ứng dụng quét virus hoặc sửa chữa
registry hệ thống (hay gọi chung là Rogue Security Software). Đồng thời,
nó còn tạo ra các biến thể phần mềm giả mạo sau đây:
Sau khi Byte Defender được cài đặt vào hệ thống, ứng dụng này sẽ tự
động tạo ra các file thừa với rất nhiều các tên gọi khác nhau. Khi người
sử dụng kích hoạt tính năng quét toàn bộ hệ thống, Byte Defender sẽ
liên tục tạo ra các thông điệp cảnh báo về virus, Trojan và worm sớm hơn
trước khi chính thức tạo ra những file độc hại này. Đồng thời, những
thông điệp này sẽ không bao giờ biến mất trừ khi người dùng mua bản
quyền của chương trình.
Trong quá trình cài đặt, Byte Defender sẽ copy những file sau vào ổ cứng: