Thuật ngữ phần mềm an ninh giả mạo – Rogue security software, là 1 dạng chương trình độc hại – malware của máy tính, sau khi lây nhiễm vào hệ thống của nạn nhân, ứng dụng sẽ hiển thị những thông tin sai lệch về tình trạng an ninh hiện thời, và dụ dỗ người dùng bỏ tiền ra để mua bản quyền của chính những phần mềm giả mạo này. Trong vài năm gần đây, số lượng người dùng mắc phải chiếc bẫy này ngày càng tăng lên, đặc biệt là những người sử dụng desktop. Sau đây là danh sách sắp xếp theo thứ tự bảng chữ cái của 1 số chương trình giả mạo phổ biến hiện nay:
>>Một số phần mềm an ninh giả mạo phổ biến hiện nay – P1
13. CleanUP AntivirusBên cạnh những tác hại như các chương trình độc hại đã được miêu tả trên, CleanUP Antivirus thực chất có cung cấp cho người dùng chút ít bảo vệ ở mức tối thiểu. Khi cài đặt thành công, CleanUP Antivirus sẽ tự tạo đường dẫn khởi động cùng hệ thống. Và mỗi lần máy tính khởi động, CleanUP Antivirus lại tự quét toàn bộ máy tính, đồng thời liên tục sao chép những file rác vào khắp nơi trên ổ cứng. Mặt khác, khi quá trình rà soát được kích hoạt, CleanUP Antivirus lại tự phát hiện chính những file đó là virus, Trojan hoặc worm, và yêu cầu người dùng mua bản quyền kích hoạt của chương trình.
Sau khi cài đặt thành công lên máy tính của nạn nhân, CleanUP Antivirus sẽ sao chép những file sau lên ổ cứng:
%AllUsersProfile%\Application Data\58969\CUf4c.exeĐồng thời tạo những bản ghi sai lệch sau vào file hệ thống Hosts:
%AllUsersProfile%\Application Data\58969\CUA.ico
%AllUsersProfile%\Application Data\CUQKWA\CUZNJUENEA.cfg
%UserProfile%\Application Data\CleanUp Antivirus\Instructions.ini
%UserProfile%\Application Data\CleanUp Antivirus\cookies.sqlite
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\CleanUp Antivirus.lnk
%UserProfile%\Desktop\CleanUp Antivirus.lnk
%UserProfile%\Start Menu\CleanUp Antivirus.lnk
%UserProfile%\Start Menu\Programs\CleanUp Antivirus.lnk
74.125.45.100 4-open-davinci.comBên cạnh đó, còn tạo và ghi rất nhiều những khóa registry sau:
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com
74.125.45.100 getantivirusplusnow.com
74.125.45.100 secure-plus-payments.com
74.125.45.100 www.getantivirusplusnow.com
74.125.45.100 www.secure-plus-payments.com
74.125.45.100 www.getavplusnow.com
74.125.45.100 safebrowsing-cache.google.com
74.125.45.100 urs.microsoft.com
74.125.45.100 www.securesoftwarebill.com
74.125.45.100 secure.paysecuresystem.com
74.125.45.100 paysoftbillsolution.com
74.125.45.100 protected.maxisoftwaremart.com
Bảng khóa registryGiao diện chính của CleanUp Antivirus:
14. Control Components
Control Components cũng được liệt vào danh sách những phần mềm an ninh giả mạo, với phương thức hoạt động và lây lan không khác gì so với những mẫu trên.
Sau khi cài đặt trên máy tính nạn nhân, Control Components sẽ sao chép toàn bộ những file sau vào phân vùng hệ thống:
%UserProfile%\Application Data\Control Components\settings.iniĐồng thời tạo tiếp những khóa registry sau:
%UserProfile%\Application Data\Control Components\uninstall.exe
%UserProfile%\Application Data\Control Components\ccagent.exe
%UserProfile%\Application Data\Control Components\ccmain.exe
%UserProfile%\Application Data\Control Components\faq\guide.html
%UserProfile%\Application Data\Control Components\faq\images\06.png
%UserProfile%\Application Data\Control Components\faq\images\07.png
%UserProfile%\Application Data\Control Components\faq\images\08.png
%UserProfile%\Application Data\Control Components\faq\images\09.png
%UserProfile%\Application Data\Control Components\faq\images\10.png
%UserProfile%\Application Data\Control Components\faq\images\05.png
%UserProfile%\Desktop\Control Components.lnk
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Control ComponentsMột số hình ảnh của chương trình:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “ccagent.exe”
15. Digital Protection
Cũng như các phần mềm độc hại đã được liệt kê ở trên, Digital Protection là 1 dạng biến thể mới của dòng CoreGuard, ngoài ra còn có các biến thể cùng dạng như: Your Protection, User Protection, Dr. Guard, Paladin Antivirus.
Khi cài đặt vào hệ thống máy tính của nạn nhân, Digital Protection sẽ liên tục sao chép những file rác sau:
%Documents and Settings%\[UserName]\Desktop\Digital Protection Support.lnkVà tiếp tục tạo ra những khóa registry sau:
%Documents and Settings%\[UserName]\Desktop\Digital Protection.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\About.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Activate.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Buy.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Digital Protection Support.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Digital Protection.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Scan.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Settings.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Update.lnk
%Documents and Settings%\[UserName]\Application Data\Microsoft\Internet Explorer\Quick Launch\Digital Protection.lnk
%Program Files%\Digital Protection\
%Program Files%\Digital Protection\about.ico
%Program Files%\Digital Protection\activate.ico
%Program Files%\Digital Protection\buy.ico
%Program Files%\Digital Protection\digprot.exe
%Program Files%\Digital Protection\help.ico
%Program Files%\Digital Protection\scan.ico
%Program Files%\Digital Protection\settings.ico
%Program Files%\Digital Protection\splash.mp3
%Program Files%\Digital Protection\uninstall.exe
%Program Files%\Digital Protection\update.ico
%Program Files%\Digital Protection\virus.mp3
%WINDOWS%\System32\zq5e7t.dll
%WINDOWS%\System32\vurrozj.dll
%WINDOWS%\Temp\avp.exe
%WINDOWS%\Temp\[tên gọi ngẫu nhiên].exe
HKEY_LOCAL_MACHINE\software\Digital ProtectionMột số hình ảnh chính của Digital Protection:
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\Digital Protection
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, “Digital Protection”
16. ErrorFix
Được phát tán và lây lan rộng rãi qua trang web www.errorfix.org (địa chỉ này đã không còn tồn tại), tác giả của ErrorFix đồng thời tạo ra thêm công cụ RegTool, cả 2 mẫu này đều được phát hiện bởi Kaspersky Lab và nhận diện không phải là virus: FraudTool.Win32.ErrorFix.b.
Khi được cài đặt thành công vào máy tính, ErrorFix sẽ liên tục hiển thị những thông tin về lỗi registry cực kỳ nghiêm trọng của Windows, và chỉ khi người dùng đồng ý mua key kích hoạt bản quyền, chương trình sẽ tự động khắc phục những lỗi nghiêm trọng đó.
ErrorFix sẽ sao chép những file sau lên ổ cứng sau khi cài đặt:
ErrorFix.exeĐồng thời tạo tiếp những khóa trong registry sau:
Icon.exe
definitions.db
privacy.db
ErrorFix.url
ErrorFix.lnk
ErrorFix Help.lnk
ErrorFix on the Web.lnk
ErrorFix Scan.job
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”ErrorFix” = “C:\Program Files\ErrorFix\ErrorFix.exe -boot”Giao diện chính của chương trình:
HKEY_CURRENT_USER\Software\ErrorFix
HKEY_LOCAL_MACHINE\SOFTWARE\ErrorFix
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{83A867EF-8D2E-4CAF-A1DD-B3996724CF78}
HKEY_CLASSES_ROOT\Installer\UpgradeCodes\2B6D4FBB6D32BEA409CCCEDDDBC9E08E
HKEY_CLASSES_ROOT\Installer\Features\FE768A38E2D8FAC41ADD3B997642FC87
HKEY_CLASSES_ROOT\Installer\Products\FE768A38E2D8FAC41ADD3B997642FC87
17. GuardWWW
GuardWWW, với cách thức ngụy trang khéo léo, chương trình đã lây lan rất nhanh chóng và dễ dàng vào rất nhiều hệ thống máy tính của người dùng khắp nơi trên thế giới. Được phát tán rộng rãi qua trang web www.guardwww.com (địa chỉ này đã không còn tồn tại), là 1 dạng biến thể mới của dòng Winiguard/Winisoft, bên cạnh đó còn những ứng dụng độc hại đi kèm như:
PcsSecure, APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.Khi cài đặt vào hệ thống, GuardWWW sẽ tự động tạo ra 1 số lượng nhất định các file rỗng với các tên gọi khác nhau, và khi tiến hành rà soát, GuardWWW sẽ phát hiện chính những file này là mã đọc và virus, đồng thời yêu cầu người dùng mua bản quyền, key kích hoạt để “điều trị” tận gốc.
GuardWWW sẽ tự động sao chép những file sau lên ổ cứng:
%ProgramFiles%\GuardWWW Software\GuardWWW\always_delete.xmlĐồng thời tạo những khóa sau trong registry:
%ProgramFiles%\GuardWWW Software\GuardWWW\always_skip.xml
%ProgramFiles%\GuardWWW Software\GuardWWW\GuardWWW.exe
%ProgramFiles%\GuardWWW Software\GuardWWW\main_config.xml
%ProgramFiles%\GuardWWW Software\GuardWWW\uninstall.exe
%ProgramFiles%\GuardWWW Software\GuardWWW\quarantine\quarantine.xml
%AllUsersProfile%\Desktop\GuardWWW.lnk
%AllUsersProfile%\Start Menu\Programs\GuardWWW\2 Homepage.lnk
%AllUsersProfile%\Start Menu\Programs\GuardWWW\3 Uninstall.lnk
%AllUsersProfile%\Start Menu\Programs\GuardWWW\1 GuardWWW.lnk
%UserProfile%\Cookies\userdemo@guardwww[1].txt
HKEY_LOCAL_MACHINE\software\GuardWWWMột số hình ảnh của GuardWWW:
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\GuardWWW
HKEY_CURRENT_USER\software\GuardWWW
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run, “GuardWWW”
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, “GuardWWW”
18. MyPcSecure
MyPcSecure – 1 trong những ứng dụng an ninh giả mạo, được phát tán rộng rãi qua địa chỉ www.mypcsecure.com (địa chỉ này đã không còn tồn tại). Thực chất, đây là 1 biến thể mới của dòng Winiguard/Winisoft, bên cạnh đó là những dạng phổ biến sau:
PcsSecure, APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.Sau khi hoàn tất quá trình cài đặt vào hệ thống, MyPcSecure sẽ tạo ra 1 số lượng nhất định các file rỗng với nhiều tên gọi khác nhau, và khi tiến hành quét toàn bộ, MyPcSecure sẽ phát hiện và báo cáo những file đó là mã độc, đồng thời yêu cầu người sử dụng mua key kích hoạt để xóa bỏ những file độc hại đó.
Những file sinh ra trong quá trình MyPcSecure cài đặt:
%ProgramFiles%\MyPcSecure Software\MyPcSecure\always_delete.xmlĐồng thời tạo ra các key registry sao:
%ProgramFiles%\MyPcSecure Software\MyPcSecure\always_skip.xml
%ProgramFiles%\MyPcSecure Software\MyPcSecure\main_config.xml
%ProgramFiles%\MyPcSecure Software\MyPcSecure\MyPcSecure.exe
%ProgramFiles%\MyPcSecure Software\MyPcSecure\uninstall.exe
%ProgramFiles%\MyPcSecure Software\MyPcSecure\quarantine\quarantine.xml
%AllUsersProfile%\Desktop\MyPcSecure.lnk
%AllUsersProfile%\Start Menu\Programs\MyPcSecure\2 Homepage.lnk
%AllUsersProfile%\Start Menu\Programs\MyPcSecure\3 Uninstall.lnk
%AllUsersProfile%\Start Menu\Programs\MyPcSecure\1 MyPcSecure.lnk
%UserProfile%\Cookies\userdemo@mypcsecure[1].txt
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\MyPcSecureMột số hình ảnh của chương trình:
HKEY_LOCAL_MACHINE\software\MyPcSecure
HKEY_CURRENT_USER\software\MyPcSecure
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run, “MyPcSecure”
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, “MyPcSecure”
19. My Security Engine
My Security Engine với cơ chế tự tạo đường dẫn khởi động cùng hệ thống, và mỗi lần như vậy, chương trình sẽ tạo và sao chép rất nhiều dữ liệu rác vào nhiều thư mục khác nhau trên tất cả các phân vùng. Và mỗi lần khởi động và quét như vậy, số lượng file rác sẽ tăng lên ngày càng nhanh và nhiều. Để xóa bỏ những file này, chương trình yêu cầu người dùng mua bản quyền hoặc mã kích hoạt ứng dụng.
Những file được tạo ra và sao chép lên ổ cứng:
%AllUsersProfile%\Application Data\%random%\MSE.icoĐồng thời những khóa registry sau cũng được tạo ra:
%AllUsersProfile%\Application Data\%random%\MSf4c.exe
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\My Security Engine.lnk
%UserProfile%\Application Data\My Security Engine\cookies.sqlite
%UserProfile%\Application Data\My Security Engine\Instructions.ini
%UserProfile%\Desktop\My Security Engine.lnk
%UserProfile%\Recent\snl2w.dll
%UserProfile%\Recent\snl2w.drv
%UserProfile%\Recent\std.exe
%UserProfile%\Recent\std.tmp
%UserProfile%\Recent\cid.tmp
%UserProfile%\Recent\DBOLE.tmp
%UserProfile%\Recent\eb.dll
%UserProfile%\Recent\eb.tmp
%UserProfile%\Recent\energy.exe
%UserProfile%\Recent\exec.sys
%UserProfile%\Recent\fix.dll
%UserProfile%\Recent\fix.drv
%UserProfile%\Recent\FW.exe
%UserProfile%\Recent\pal.drv
%UserProfile%\Recent\PE.dll
%UserProfile%\Recent\runddlkey.sys
%UserProfile%\Start Menu\My Security Engine.lnk
%UserProfile%\Start Menu\Programs\My Security Engine.lnk
Bảng khóa registryMặt khác, My Security Engine còn ngăn chặn truy cập tới 1 số trang web bằng cách thay đổi file hệ thống HOSTS. Những thông tin sau đã bị thay đổi trong file HOSTS:
127.0.0.1 localhostTriệu chứng rất dễ nhận biết của hiện tượng này là người dùng không thể kết nối tới trang chủ www.kaspersky.com, và có liên quan tới các sản phẩm sau:
74.125.45.100 4-open-davinci.com
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com
74.125.45.100 getantivirusplusnow.com
74.125.45.100 secure-plus-payments.com
74.125.45.100 www.getantivirusplusnow.com
74.125.45.100 www.secure-plus-payments.com
74.125.45.100 www.getavplusnow.com
74.125.45.100 safebrowsing-cache.google.com
74.125.45.100 urs.microsoft.com
74.125.45.100 www.securesoftwarebill.com
74.125.45.100 secure.paysecuresystem.com
74.125.45.100 paysoftbillsolution.com
74.125.45.100 protected.maxisoftwaremart.com
209.212.147.138 www.google.com
209.212.147.138 google.com
209.212.147.138 google.com.au
209.212.147.138 www.google.com.au
209.212.147.138 google.be
209.212.147.138 www.google.be
209.212.147.138 google.com.br
209.212.147.138 www.google.com.br
209.212.147.138 google.ca
209.212.147.138 www.google.ca
209.212.147.138 google.ch
209.212.147.138 www.google.ch
209.212.147.138 google.de
209.212.147.138 www.google.de
209.212.147.138 google.dk
209.212.147.138 www.google.dk
209.212.147.138 google.fr
209.212.147.138 www.google.fr
209.212.147.138 google.ie
209.212.147.138 www.google.ie
209.212.147.138 google.it
209.212.147.138 www.google.it
209.212.147.138 google.co.jp
209.212.147.138 www.google.co.jp
209.212.147.138 google.nl
209.212.147.138 www.google.nl
209.212.147.138 google.no
209.212.147.138 www.google.no
209.212.147.138 google.co.nz
209.212.147.138 www.google.co.nz
209.212.147.138 google.pl
209.212.147.138 www.google.pl
209.212.147.138 google.se
209.212.147.138 www.google.se
209.212.147.138 google.co.uk
209.212.147.138 www.google.co.uk
209.212.147.138 google.co.za
209.212.147.138 www.google.co.za
209.212.147.138 www.google-analytics.com
209.212.147.138 www.bing.com
209.212.147.138 search.yahoo.com
209.212.147.138 www.search.yahoo.com
209.212.147.138 uk.search.yahoo.com
209.212.147.138 ca.search.yahoo.com
209.212.147.138 de.search.yahoo.com
209.212.147.138 fr.search.yahoo.com
209.212.147.138 au.search.yahoo.com
- Kaspersky Anti-Virus 6.0\7.0\2009 (tất cả các phiên bản)
- Kaspersky Internet Security 6.0\7.0\2009 (tất cả các phiên bản)
- Kaspersky Anti-Virus 5.0 Personal (tất cả các phiên bản)
- Kaspersky Anti-Virus 5.0 Personal Pro (tất cả các phiên bản)
- Kaspersky Anti-Hacker 1.8
- Kaspersky Anti-Virus 5.0\6.0 dành cho Windows Workstations (tất cả các phiên bản)
- Kaspersky Anti-Virus 5.0\6.0 SOS
Để tạm thời khắc phục hiện tượng này, các bạn có thể áp dụng cách thủ công sau: tìm vị trí của file hệ thống HOSTS (với Windows-95/98/ME thì tại thư mục gốc cài đặt hệ thống, với Windows NT/2000/XP/Vista/7 thì tại thư mục System32/drivers/etc), mở file với bất kỳ chương trình soạn thảo nào (ví dụ NotePad, WordPad) dưới quyền Administrator, xóa tất cả các dòng địa chỉ ngoại trừ 127.0.0.1 localhost. Hoặc thay thế bằng file HOSTS được cung cấp bởi Kaspersky tại đây.
Giao diện chính của chương trình:
20. New Antivirus 2010
Khi thâm nhập và cài đặt thành công lên máy tính nạn nhân, New Antivirus 2010 sẽ liên tục đưa ra cảnh báo sai lầm về tình hình viruses, Trojans và worms phát hiện được trên hệ thống, đồng thời yêu cầu người dùng mua bản quyền hoặc key kích hoạt để sử dụng tất cả các chức năng và diệt toàn bộ virus được cảnh báo trên hệ thống.
Những file sau được New Antivirus 2010 sao chép lên ổ hệ thống:
%Documents and Settings%\All Users\Start Menu\Programs\New Antivirus 2010Và tiếp tục tạo ra những khóa registry sau:
%Documents and Settings%\All Users\Desktop\New Antivirus 2010.lnk
%Documents and Settings%\All Users\Application Data\Microsoft\Machine\WStech.dll
HKEY_LOCAL_MACHINE\SOFTWARE\New Antivirus 2010Giao diện chính của chương trình:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “New Antivirus 2010″
20. New Antivirus 2010
Khi thâm nhập và cài đặt thành công lên máy tính nạn nhân, New Antivirus 2010 sẽ liên tục đưa ra cảnh báo sai lầm về tình hình viruses, Trojans và worms phát hiện được trên hệ thống, đồng thời yêu cầu người dùng mua bản quyền hoặc key kích hoạt để sử dụng tất cả các chức năng và diệt toàn bộ virus được cảnh báo trên hệ thống.
Những file sau được New Antivirus 2010 sao chép lên ổ hệ thống:
%Documents and Settings%\All Users\Start Menu\Programs\New Antivirus 2010Và tiếp tục tạo ra những khóa registry sau:
%Documents and Settings%\All Users\Desktop\New Antivirus 2010.lnk
%Documents and Settings%\All Users\Application Data\Microsoft\Machine\WStech.dll
HKEY_LOCAL_MACHINE\SOFTWARE\New Antivirus 2010Giao diện chính của chương trình:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “New Antivirus 2010″
21. PcSecureNet
PcSecureNet là 1 dạng biến thể mới của dòng Winiguard/Winisoft, được phát tán và lây lan rộng rãi qua địa chỉ www.pcsecurenet.com (đã không còn tồn tại), bên cạnh đó còn những biến thể đáng chú ý sau:
PcsSecure, APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.Với cách thức lây lan khá phổ biến, PcSecureNet sẽ liên tục tạo ra số lượng file rỗng nhất định với nhiều tên gọi khác nhau sau khi cài đặt thành công vào máy tính của nạn nhân. Và khi người dùng tiến hành quét toàn bộ hệ thống, PcSecureNet sẽ phát hiện và cảnh báo những file đó là mã độc, và “dụ dỗ” người dùng mua bản quyền hoặc key kích hoạt.
Những file sau được tạo ra và sao chép trong quá trình cài đặt:
%ProgramFiles%\PcSecureNet Software\ApcSafe\PcSecureNet.exevà những khóa registry sau:
%ProgramFiles%\PcSecureNet Software\ApcSafe\main_config.xml
%ProgramFiles%\PcSecureNet Software\ApcSafe\uninstall.exe
%AllUsersProfile%\Desktop\PcSecureNet.lnk
%AllUsersProfile%\Start Menu\Programs\PcSecureNet\1 PcSecureNet.lnk
%AllUsersProfile%\Start Menu\Programs\PcSecureNet\2 Homepage.lnk
%AllUsersProfile%\Start Menu\Programs\PcSecureNet\3 Uninstall.lnk
HKEY_LOCAL_MACHINE\software\PcSecureNetMột số hình ảnh chính của PcSecureNet:
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\PcSecureNet
HKEY_CURRENT_USER\software\PcSecureNet
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run, “PcSecureNet”
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, “PcSecureNet”
22. PcsSecure
PcsSecure – cũng tương tự như PcSecureNet, là 1 dạng biến thể của Winiguard/Winisoft, được phát tán và lây truyền qua địa chỉ www.pcssecure.com (đã không còn tồn tại), bên cạnh đó còn khá nhiều biến thể tương đương như:
APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.Sau khi xâm nhập và cài đặt thành công vào máy tính của nạn nhân, PcsSecure sẽ tự tạo ra 1 số lượng nhất định các file rỗng với các tên gọi khác nhau, mỗi khi quét, PcsSecure sẽ cảnh báo người dùng về những file này là mã độc hoặc virus, và chỉ chờ người dùng đồng ý mua bản quyền hoặc mã kích hoạt.
Khi cài đặt, PcsSecure sẽ tạo ra những file sau:
%ProgramFiles%\PcsSecure Software\PcsSecure\always_delete.xmlVà các khóa tương tự trong registry:
%ProgramFiles%\PcsSecure Software\PcsSecure\always_skip.xml
%ProgramFiles%\PcsSecure Software\PcsSecure\main_config.xml
%ProgramFiles%\PcsSecure Software\PcsSecure\PcsSecure.exe
%ProgramFiles%\PcsSecure Software\PcsSecure\uninstall.exe
%ProgramFiles%\PcsSecure Software\PcsSecure\quarantine\quarantine.xml
%AllUsersProfile%\Desktop\PcsSecure.lnk
%AllUsersProfile%\Start Menu\Programs\PcsSecure\1 PcsSecure.lnk
%AllUsersProfile%\Start Menu\Programs\PcsSecure\2 Homepage.lnk
%AllUsersProfile%\Start Menu\Programs\PcsSecure\3 Uninstall.lnk
%UserProfile%\Cookies\userdemo@pcssecure[1].txt
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\PcsSecureMột số hình ảnh của chương trình:
HKEY_LOCAL_MACHINE\software\PcsSecure
HKEY_CURRENT_USER\software\PcsSecure
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run, “PcsSecure”
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, “PcsSecure”
23. ProtectDefender
Được phát tán rộng rãi qua nguồn www.protectdefender.com (địa chỉ này đã không còn tồn tại), ProtectDefender cũng là 1 dạng biến thể của “gia đình” Winiguard/Winisoft phổ biến, bên cạnh đó có thể kể đến các “đồng nghiệp” sau:
APcSafe, APcSecure, ProtectSoldier, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.Khi thâm nhập thành công vào máy tính của nạn nhân, ProtectDefender sẽ liên tục tạo ra số lượng nhất định những file rỗng trong thư mục hệ thống C:\Windows và C:\Windows\System32, và đương nhiên, khi khởi động hoặc quét toàn bộ hệ thống, ProtectDefender sẽ cảnh báo đã phát hiện rất nhiều mã độc trong máy tính, đồng thời yêu cầu người sử dụng mua bản quyền hoặc mã kích hoạt.
Những file sau được ProtectDefender tạo ra trong quá trình cài đặt:
%UserProfile%\Desktop\ProtectDefender.lnkVà các khóa registry sau:
%UserProfile%\Start Menu\Programs\ProtectDefender.lnk
c:\Program Files\ProtectDefender Software
c:\Program Files\ProtectDefender Software\ProtectDefender
c:\Program Files\ProtectDefender Software\ProtectDefender\ProtectDefender.exe
c:\Program Files\ProtectDefender Software\ProtectDefender\Uninstall.exe
c:\WINDOWS59zwo5m236.ocx
c:\WINDOWS980haczt9ol3e5.bin
c:\WINDOWS\system3228downlo5dez11979.bin
c:\WINDOWS\system329zbackdoor1975.bin
c:\WINDOWS\system3299zir5s6ef.ocx
HKEY_CURRENT_USER\Software\ProtectDefenderGiao diện chính của chương trình:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ProtectDefender
HKEY_LOCAL_MACHINE\SOFTWARE\ProtectDefender
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “ProtectDefender”
24. RegistryFox
Là 1 phần mềm an ninh giả mạo, khéo léo ngụy trang thành ứng dụng quét virus và rà soát hệ thống registry trong Windows. RegistryFox được phát tán rộng rãi qua trang web www.registryfox.com, nhưng lại được Kaspersky Lab phát hiện rằng không phải dòng virus FraudTool.Win32.RegistryFox.a.
Khi được cài đặt thành công vào máy tính của nạn nhân, RegistryFox sẽ liên tục tạo ra các thông tin cảnh báo sai lệch về tình trạng lỗi nghiêm trọng trong registry của hệ điều hành. Chỉ khi người dùng đồng ý mua key kích hoạt bản quyền, RegistryFox sẽ dừng thông báo và “khắc phục” những lỗi đó.
RegistryFox sẽ sao chép những file sau lên máy tính của nạn nhân:
C:\Config.Msi\4f7ea.rbsvà khóa registry chính sau:
%ProgramFiles%\RegistryFox
%ProgramFiles%\RegistryFox\RegistryFox.url
%ProgramFiles%\RegistryFox\RegistryFox.exe
%ProgramFiles%\RegistryFox\TCL.dll
%ProgramFiles%\RegistryFox\RegCleaner.dll
%ProgramFiles%\RegistryFox\DataBase.ref
%ProgramFiles%\RegistryFox\zlib.dll
%AllUsers%\Start Menu\Programs\RegistryFox
%AllUsers%\Start Menu\Programs\RegistryFox\RegistryFox.lnk
%AllUsers%\Desktop\RegistryFox.lnk
%AllUsers%\Start Menu\Programs\RegistryFox\RegistryFox on the Web.lnk
C:\WINDOWS\Installer\4f7eb.msi
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Registry FoxMột số hình ảnh của chương trình:
25. RegTool
Với cách thức hoạt động và lây lan tương tự ErrorFix, RegTool được chủ yếu phát tán qua trang web www.regtool.com, nhưng Kaspersky Lab không liệt chương trình giả mạo này thành FraudTool.Win32.RegTool.b.
Khi RegTool được cài đặt thành công, khi người dùng kích hoạt tính năng rà soát trong hệ thống registry, chương trình sẽ cảnh báo hệ thống với lỗi registry nghiêm trọng, đồng thời yêu cầu người dùng mua key kích hoạt bản quyền.
RegTool sẽ sao chép những file sau lên phân vùng hệ thống sau khi cài đặt:
regtool.exevà những khóa registry sau:
regtool5.dll
RegTool.lnk
HKEY_CURRENT_USER\Software\RegToolGiao diện chính của chương trình:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run “RegTool”
26. RST Antivirus 2010
RST Antivirus 2010 được Kaspersky Lab phát hiện và liệt kê vào danh sách biến thể của Trojan.Win32.FakeAV.pz, và phát tán rộng rãi qua trang web http://rtsantivirus2010.com/. Khi xâm nhập thành công vào máy tính của nạn nhân, RST Antivirus 2010 sẽ liên tục tạo ra các thông báo lỗi về viruses, Trojans và worms tồn tại trên hệ thống, và RST Antivirus 2010 sẽ khắc phục triệt để những lỗi này khi người dùng đồng ý mua key kích hoạt bản quyền.
Sau khi cài đặt vào máy tính, RST Antivirus 2010 sẽ sao chép những file sau vào ổ cứng:
%ProgramFiles%\adc32.dllvà những khóa registry sau:
%ProgramFiles%\alggui.exe
%ProgramFiles%\nuar.old
%ProgramFiles%\skynet.dat
%ProgramFiles%\svchost.exe
%ProgramFiles%\wp3.dat
%ProgramFiles%\wp4.dat
%ProgramFiles%\rst antivirus 2010\rst antivirus 2010.exe
%ProgramFiles%\rst antivirus 2010\comdlg32.dll
%ProgramFiles%\rst antivirus 2010\dwmapi.dll
%ProgramFiles%\rst antivirus 2010\libclamav.dll
%ProgramFiles%\rst antivirus 2010\oledlg.dll
%ProgramFiles%\rst antivirus 2010\pthreadvc2.dll
%ProgramFiles%\rst antivirus 2010\uninstall.bat
%ProgramFiles%\rst antivirus 2010\wininet.dll
%Programs%\RTS Antivirus 2010.lnk
%Desktop%\RTS Antivirus 2010.lnk
HKCU\Software\RTS Antivirus 2010Giao diện chính của chương trình RST Antivirus 2010:
HKCR\CLSID\{77DC0Baa-3235-4ba9-8BE8-aa9EB678FA02}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{77DC0Baa-3235-4ba9-8BE8-aa9EB678FA02}
HKLM\SYSTEM\CurrentControlSet\Services\AdbUpd
(Còn nữa)Theo Quantrimang.
0 nhận xét:
Đăng nhận xét