Trang chủ » 2010 » Tháng 8 » 4 » Một số phần mềm an ninh giả mạo phổ biến hiện nay - Phần II
9:55 AM
Một số phần mềm an ninh giả mạo phổ biến hiện nay - Phần II
Thuật ngữ phần mềm an ninh giả mạo - Rogue security software, là
1 dạng chương trình độc hại – malware của máy tính, sau khi lây nhiễm
vào hệ thống của nạn nhân, ứng dụng sẽ hiển thị những thông tin sai lệch
về tình trạng an ninh hiện thời, và dụ dỗ người dùng bỏ tiền
ra để mua bản quyền của chính những phần mềm giả mạo này. Trong vài năm
gần đây, số lượng người dùng mắc phải chiếc bẫy này ngày càng tăng lên,
đặc biệt là những người sử dụng desktop. Sau đây là danh sách sắp xếp
theo thứ tự bảng chữ cái của 1 số chương trình giả mạo phổ biến hiện
nay:
13. CleanUP Antivirus
Bên cạnh những tác hại như các chương trình độc hại đã được miêu tả
trên, CleanUP Antivirus thực chất có cung cấp cho người dùng chút ít bảo
vệ ở mức tối thiểu. Khi cài đặt thành công, CleanUP Antivirus sẽ tự tạo
đường dẫn khởi động cùng hệ thống. Và mỗi lần máy tính khởi động,
CleanUP Antivirus lại tự quét toàn bộ máy tính, đồng thời liên tục sao
chép những file rác vào khắp nơi trên ổ cứng. Mặt khác, khi quá trình rà
soát được kích hoạt, CleanUP Antivirus lại tự phát hiện chính những
file đó là virus, Trojan hoặc worm, và yêu cầu người dùng mua bản quyền
kích hoạt của chương trình.
Sau khi cài đặt thành công lên máy tính của nạn nhân, CleanUP Antivirus sẽ sao chép những file sau lên ổ cứng:
Control Components cũng được liệt vào danh sách những phần mềm an
ninh giả mạo, với phương thức hoạt động và lây lan không khác gì so với
những mẫu trên.
Sau khi cài đặt trên máy tính nạn nhân, Control Components sẽ sao chép toàn bộ những file sau vào phân vùng hệ thống:
Cũng như các phần mềm độc hại đã được liệt kê ở trên, Digital
Protection là 1 dạng biến thể mới của dòng CoreGuard, ngoài ra còn có
các biến thể cùng dạng như: Your Protection, User Protection, Dr. Guard,
Paladin Antivirus.
Khi cài đặt vào hệ thống máy tính của nạn nhân, Digital Protection sẽ liên tục sao chép những file rác sau:
%Documents and Settings%\[UserName]\Desktop\Digital Protection Support.lnk
%Documents and Settings%\[UserName]\Desktop\Digital Protection.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\About.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Activate.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Buy.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Digital Protection Support.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Digital Protection.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Scan.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Settings.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Update.lnk
%Documents and Settings%\[UserName]\Application Data\Microsoft\Internet Explorer\Quick Launch\Digital Protection.lnk
%Program Files%\Digital Protection\
%Program Files%\Digital Protection\about.ico
%Program Files%\Digital Protection\activate.ico
%Program Files%\Digital Protection\buy.ico
%Program Files%\Digital Protection\digprot.exe
%Program Files%\Digital Protection\help.ico
%Program Files%\Digital Protection\scan.ico
%Program Files%\Digital Protection\settings.ico
%Program Files%\Digital Protection\splash.mp3
%Program Files%\Digital Protection\uninstall.exe
%Program Files%\Digital Protection\update.ico
%Program Files%\Digital Protection\virus.mp3
%WINDOWS%\System32\zq5e7t.dll
%WINDOWS%\System32\vurrozj.dll
%WINDOWS%\Temp\avp.exe
%WINDOWS%\Temp\[tên gọi ngẫu nhiên].exe
Được phát tán và lây lan rộng rãi qua trang web www.errorfix.org (địa
chỉ này đã không còn tồn tại), tác giả của ErrorFix đồng thời tạo ra
thêm công cụ RegTool, cả 2 mẫu này đều được phát hiện bởi Kaspersky Lab
và nhận diện không phải là virus: FraudTool.Win32.ErrorFix.b.
Khi được cài đặt thành công vào máy tính, ErrorFix sẽ liên tục hiển
thị những thông tin về lỗi registry cực kỳ nghiêm trọng của Windows, và
chỉ khi người dùng đồng ý mua key kích hoạt bản quyền, chương trình sẽ
tự động khắc phục những lỗi nghiêm trọng đó.
ErrorFix sẽ sao chép những file sau lên ổ cứng sau khi cài đặt:
ErrorFix.exe
Icon.exe
definitions.db
privacy.db
ErrorFix.url
ErrorFix.lnk
ErrorFix Help.lnk
ErrorFix on the Web.lnk
ErrorFix Scan.job
GuardWWW, với cách thức ngụy trang khéo léo, chương trình đã lây lan
rất nhanh chóng và dễ dàng vào rất nhiều hệ thống máy tính của người
dùng khắp nơi trên thế giới. Được phát tán rộng rãi qua trang web
www.guardwww.com (địa chỉ này đã không còn tồn tại), là 1 dạng biến thể
mới của dòng Winiguard/Winisoft, bên cạnh đó còn những ứng dụng độc hại
đi kèm như:
Khi cài đặt vào hệ thống, GuardWWW sẽ tự động tạo ra 1 số lượng nhất
định các file rỗng với các tên gọi khác nhau, và khi tiến hành rà soát,
GuardWWW sẽ phát hiện chính những file này là mã đọc và virus, đồng thời
yêu cầu người dùng mua bản quyền, key kích hoạt để "điều trị” tận gốc.
GuardWWW sẽ tự động sao chép những file sau lên ổ cứng:
MyPcSecure – 1 trong những ứng dụng an ninh giả mạo, được phát tán
rộng rãi qua địa chỉ www.mypcsecure.com (địa chỉ này đã không còn tồn
tại). Thực chất, đây là 1 biến thể mới của dòng Winiguard/Winisoft, bên
cạnh đó là những dạng phổ biến sau:
Sau khi hoàn tất quá trình cài đặt vào hệ thống, MyPcSecure sẽ tạo ra
1 số lượng nhất định các file rỗng với nhiều tên gọi khác nhau, và khi
tiến hành quét toàn bộ, MyPcSecure sẽ phát hiện và báo cáo những file đó
là mã độc, đồng thời yêu cầu người sử dụng mua key kích hoạt để xóa bỏ
những file độc hại đó.
Những file sinh ra trong quá trình MyPcSecure cài đặt: