Khi Antivirus Suite hoạt động, chương trình sẽ chỉ hiển thị những thông báo sai sự thực về viruses, Trojans và worms được phát hiện trên hệ thống.. Antivirus Suite sẽ sao chép những file
Trang 1Một số phần mềm an ninh giả mạo phổ biến
(Phần 6)
Trang 211 Antivirus Suite
Antivirus Suite – đã và vẫn đang là 1 trong những hiểm họa lây lan nhanh, mạnh nhất hiện nay Với những người dùng không cảnh giác hoặc ít kinh nghiệm Khi Antivirus Suite hoạt động, chương trình sẽ chỉ hiển thị những thông báo sai sự thực về viruses, Trojans và worms được phát hiện trên hệ thống Chỉ khi người dùng mua bản quyền hoặc key kích hoạt, những thông báo này mới biến mất
Antivirus Suite sẽ sao chép những file sau lên ổ hệ thống sau khi cài đặt:
%UserProfile%\Local Settings\Application Data\[ký tự ngẫu nhiên]\
%UserProfile%\Local Settings\Application Data\[ký tự ngẫu nhiên]\[ký tự ngẫu nhiên]tssd.exe
Đồng thời tạo những khóa registry sau:
HKEY_CURRENT_USER\Software\avsuite
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
"RunInvalidSignatures" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Inter
Trang 3net Settings "ProxyOverride" = "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Inter net Settings "ProxyServer" = "http=127.0.0.1:5555"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Poli cies\Associations "LowRiskFileTypes" = ".exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Poli cies\Attachments "SaveZoneInformation" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"<random>"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run "<random>"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
"CheckExeSignatures" = "no"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Inter net Settings "ProxyEnable" = "1"
Giao diện chính của chương trình:
Trang 412 ByteDefender
Thực chất, đây là 1 chương trình malware độc hại, khi cài đặt chúng sẽ tiếp tục “gọi” Trojan về máy tính của nạn nhân qua hình thức các gói codec audio hoặc video – tất nhiên cũng là giả mạo Khi được cài đặt thành công,
ByteDefender sẽ liên tục thực hiện các lượt quét trên hệ thống, đồng thời hiển thị các thông tin hoàn toàn sai lệch về tình trạng an ninh của máy tính Mục đích chính của quá trình này là “dụ dỗ” người dùng nhấn vào các đường dẫn quảng cáo hoặc mua bản quyền đầy đủ để được sử dụng toàn bộ chức năng của ByteDefender
Trang 5Byte Defender thực chất là 1 biến thể mới của dòng Winiguard/Winisoft, ngụy trang trên hệ thống máy tính thành ứng dụng an toàn và bảo mật, tương
tự như 1 ứng dụng quét virus hoặc sửa chữa registry hệ thống (hay gọi chung
là Rogue Security Software) Đồng thời, nó còn tạo ra các biến thể phần mềm giả mạo sau đây:
PcsSecure, APcSafe, APcSecure, ProtectSoldier, ProtectDefender,
ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector,
APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect,
ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware,
AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector,
BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran
Sau khi Byte Defender được cài đặt vào hệ thống, ứng dụng này sẽ tự động tạo ra các file thừa với rất nhiều các tên gọi khác nhau Khi người sử dụng kích hoạt tính năng quét toàn bộ hệ thống, Byte Defender sẽ liên tục tạo ra các thông điệp cảnh báo về virus, Trojan và worm sớm hơn trước khi chính
Trang 6thức tạo ra những file độc hại này Đồng thời, những thông điệp này sẽ không bao giờ biến mất trừ khi người dùng mua bản quyền của chương trình
Trong quá trình cài đặt, Byte Defender sẽ copy những file sau vào ổ cứng:
%ProgramFiles%\ByteDefender Software\ByteDefender\ByteDefender.exe
%ProgramFiles%\ByteDefender Software\ByteDefender\Uninstall.exe
%ProgramFiles%\ByteDefender Software\ByteDefender\always_delete.xml
%ProgramFiles%\ByteDefender Software\ByteDefender\always_skip.xml
%ProgramFiles%\ByteDefender
Software\ByteDefender\quarantine\quarantine.xml
%AllUsersProfile%\Start Menu\Programs\ByteDefender.lnk
%UserProfile%\Desktop\ByteDefender.lnk
Và tiếp tục tạo thêm những khóa sau trong hệ thống registry:
HKEY_LOCAL_MACHINE\software\ByteDefender
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uni nstall\ByteDefender
HKEY_CURRENT_USER\software\ByteDefender
HKEY_CURRENT_USER\software\ByteDefender\agents
Trang 7HKEY_CURRENT_USER\software\ByteDefender\general
HKEY_CURRENT_USER\software\ByteDefender\realtime
HKEY_CURRENT_USER\software\ByteDefender\scanner
HKEY_CURRENT_USER\software\ByteDefender\tasks
HKEY_CURRENT_USER\software\ByteDefender\tasks\0
HKEY_CURRENT_USER\software\ByteDefender\tasks\1
HKEY_CURRENT_USER\software\ByteDefender\updates
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Ru
n, "ByteDefender"
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run,
"ByteDefender"