Một số phần mềm an ninh giả mạo phổ biến Phần 4... Antivirus 1 tên gọi rất chung chung – Antivirus, chương trình này có nét gì đó rất giống với APcSafe và ApcSecure, nguồn gốc lây nhiễm
Trang 1Một số phần mềm an ninh giả mạo phổ biến
(Phần 4)
Trang 27 Antivirus
1 tên gọi rất chung chung – Antivirus, chương trình này có nét gì đó rất giống với APcSafe và ApcSecure, nguồn gốc lây nhiễm chính của mẫu ứng dụng độc hại này là trang web www.just-protect-pc.info (địa chỉ này đã không còn tồn tại) Cách thức lây nhiễm và hoạt động thì không có gì thay đổi, những cảnh báo về viruses, Trojans và worms phát hiện trên hệ thống liên tục được gửi đến người dùng
Trong quá trình cài đặt, Antivirus sẽ copy nhưng file này lên ổ hệ thống:
%ProgramFiles%\Antivirus\AvBho.dll
%ProgramFiles%\Antivirus\Uninstall.exe
%ProgramFiles%\Antivirus\wscsvc32.exe
%ProgramFiles%\Antivirus\Antivirus.exe
%AllUsersProfile%\Desktop\Antivirus.lnk
%AllUsersProfile%\Start Menu\Programs\Antivirus\Antivirus.lnk
%AllUsersProfile%\Start Menu\Programs\Antivirus\Uninstall.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick
Launch\Antivirus.lnk
%UserProfile%\Local Settings\Temp\winupd64x.exe
Trang 3Và tạo những khóa registry sau:
HKEY_LOCAL_MACHINE\software\Antivirus
HKEY_LOCAL_MACHINE\software\Classes\AvBho.AvBhoApp
HKEY_LOCAL_MACHINE\software\Classes\AvBho.AvBhoApp\CLSID HKEY_LOCAL_MACHINE\software\Classes\AvBho.AvBhoApp\CurVer HKEY_LOCAL_MACHINE\software\Classes\AvBho.AvBhoApp.1
HKEY_LOCAL_MACHINE\software\Classes\AvBho.AvBhoApp.1\CLSID HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-b35e-6816e68c3620}
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-b35e-6816e68c3620}\InprocServer32
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-b35e-6816e68c3620}\ProgID
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-b35e-6816e68c3620}\Programmable
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-b35e-6816e68c3620}\TypeLib
Trang 4
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9d541c6a-573b-4888-b35e-6816e68c3620}\VersionIndependentProgID
HKEY_LOCAL_MACHINE\software\Classes\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}\ProxyStubClsid
HKEY_LOCAL_MACHINE\software\Classes\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\software\Classes\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}\TypeLib
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}\ProxyStubClsid
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}\ProxyStubClsid32
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}\TypeLib
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-4144-A0B6-59BD01372E26}
Trang 5HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-4144-A0B6-59BD01372E26}\1.0
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-4144-A0B6-59BD01372E26}\1.0\0
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-4144-A0B6-59BD01372E26}\1.0\0\win32
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-4144-A0B6-59BD01372E26}\1.0\FLAGS
HKEY_LOCAL_MACHINE\software\Classes\Typelib\{65DA0CE6-30D1-4144-A0B6-59BD01372E26}\1.0\HELPDIR
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Ex plorer\Browser Helper Objects\{9d541c6a-573b-4888-b35e-6816e68c3620} HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uni nstall\Antivirus
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run,
“Antivirus.exe”
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run,
“wscsvc32.exe”
Trang 6Một số hình ảnh của chương trình:
Trang 78 Antivirus 7
Khác với chương trình giả mạo Antivirus, Antivirus 7 sẽ tự động tạo ra file thực thi của nó trong quá trình hệ thống khởi động, mỗi lần như vậy, người dùng sẽ thấy giao diện của Antivirus 7 hiện ra nhanh chóng rồi vụt tắt Khi quét, Antivirus 7 luôn luôn phát hiện virus và các loại mã độc khác trong thư
mục hệ thống (C:\Windows và C:\Windows\System32) Khi người sử dụng
đồng ý mua bản quyền để xóa những file độc hại được phát hiện bên trên, Antivirus 7 sẽ tiếp tục lây lan vào các thư mục khác trên hệ thống (và các
Trang 8máy tính khác trong mạng nội bộ), trong khi đó Trojan đi kèm liên tục tải các biến thể khác của Antivirus 7 từ Internet
Antivirus 7 sẽ tự động sao chép những file sau lên ổ cứng:
%Documents and Settings%\All Users\Start Menu\AV7
%Documents and Settings%\All Users\Start Menu\AV7\Antivirus7.lnk
%Documents and Settings%\All Users\Start Menu\AV7\Uninstall.lnk
%Program Files%\AV7
%Program Files%\AV7\antivirus7.exe
%WINDOWS%\SoftwareDistribution\DataStore\Logs\tmp.edb
%WINDOWS%\system32\UpdateExplorer.dll
%UserProfile%\Desktop\Antivirus7.lnk
và tạo những khóa registry sau:
HKEY_CURRENT_USER\Software\EVA246
HKEY_CLASSES_ROOT\CLSID\{E2BFE352-A303-4EA8-88FE-CE35361D7E8B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper
Trang 9Objects\{E2BFE352-A303-4EA8-88FE-CE35361D7E8B}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"AV7"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Internet Settings\5.0\User Agent\Post Platform "WinNT-EVI 12.03.2010"