AntiSpyware Soft Khi thâm nhập thành công và cài đặt trên máy tính nạn nhân, AntiSpyware Soft sẽ liên tục đưa ra các thông điệp cảnh báo về virus, Trojan và worm được phát hiện trên hệ t
Trang 1Một số phần mềm an ninh giả mạo phổ biến
(Phần 3)
Trang 25 AntiSpyware Soft
Khi thâm nhập thành công và cài đặt trên máy tính nạn nhân, AntiSpyware Soft sẽ liên tục đưa ra các thông điệp cảnh báo về virus, Trojan và worm được phát hiện trên hệ thống, người dùng sẽ không thể xóa hoặc tắt bỏ những thông tin này trừ khi mua bản quyền hoặc key kích hoạt của chương trình
Trong quá trình cài đặt, AntiSpyware Soft sẽ copy file sau vào ổ cứng:
%Documents and Settings%\[UserName]\Local Settings\Application
Data\[ký tự ngẫu nhiên]\[ký tự ngẫu nhiên]tssd.exe
Đồng thời tạo ra những khóa registry sau:
HKEY_CURRENT_USER\Software\AvScan
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“[random characters]“
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run “[random characters]“
HKEY_CURRENT_USER\Software\avsoft
HKEY_CURRENT_USER\Software\avsuite
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft
Trang 3HKEY_LOCAL_MACHINE\SOFTWARE\avsuite
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
"RunInvalidSignatures" ="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Inter net Settings "ProxyOverride" = "<local>"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Inter net Settings "ProxyServer" = "http=127.0.0.1:5555"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Poli cies\Associations "LowRiskFileTypes" = ".exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Poli cies\Attachments "SaveZoneInformation" = "1"
Giao diện chính của chương trình:
Trang 46 Antivir Solution Pro
Cũng giống như tất cả các chương trình độc hại trên, Antivir Solution Pro ngụy trang khéo léo thành phần mềm bảo mật hợp pháp, khiến cho người dùng dễ dàng tin tưởng và luôn luôn sử dụng Chương trình được phát tán rộng rãi qua trang web http://antispybox.com/ và các đường link liên quan Đây cũng là 1 dạng tự nhân bản của AVSecurity Suite, Antivirus Suite và Antivirus Soft Khi quá trình rà soát bắt đầu, người sử dụng sẽ liên tục nhận được cảnh báo về viruses, Trojans và worms đang “hoành hành” trên hệ
Trang 5thống, và quá trình xử lý tận gốc chỉ được tiến hành khi người dùng mua key kích hoạt của chương trình
Khi cài đặt vào hệ thống, Antivir Solution Pro sẽ copy file thực thi sau lên ổ cứng:
%UserProfile%\Local Settings\Application
Data\%random%\%random%.exe
Và tạo những khóa registry sau:
HKEY_LOCAL_MACHINE\software\AVSolution
HKEY_LOCAL_MACHINE\software\AVSuitE
HKEY_CURRENT_USER\software\AVSolution
HKEY_CURRENT_USER\software\AVSuitE
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Ru
n, "%random%"
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run,
"%random%"
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Inter net Settings
Trang 6ProxyServer = http=127.0.0.1:5643
ProxyOverride = <local>
HKEY_CURRENT_USER\software\Microsoft\Internet
Explorer\PhishingFilter
EnabledV8 = 0×00000000 (0)
Enabled = 0×00000000 (0)
Một số hình ảnh của chương trình: