Một số phần mềm an ninh giả mạo phổ biến (Phần 4)

Một số phần mềm an ninh giả mạo phổ biến (Phần 4).7. Antivirus 1 tên gọi rất chung chung – Antivirus, chương trình này có nét gì đó rất giống với APcSafe và ApcSecure, nguồn gốc lây nhiễm chính của mẫu ứng dụng độc hại này là trang web www.just-protect-pc.info (địa chỉ này đã không còn tồn tại). Cách thức lây nhiễm và hoạt động thì không có gì thay đổi, những cảnh báo về viruses, Trojans và worms phát hiện trên hệ thống liên tục được gửi đến người dùng. Trong quá trình cài đặt, Antivirus sẽ copy nhưng...
Nội dung trích xuất từ tài liệu:
Một số phần mềm an ninh giả mạo phổ biến (Phần 4)Một số phần mềm an ninh giả mạo phổ biến (Phần 4)7. Antivirus1 tên gọi rất chung chung – Antivirus, chương trình này có nét gì đó rất giốngvới APcSafe và ApcSecure, nguồn gốc lây nhiễm chính của mẫu ứng dụngđộc hại này là trang web www.just-protect-pc.info (địa chỉ này đã không còntồn tại). Cách thức lây nhiễm và hoạt động thì không có gì thay đổi, nhữngcảnh báo về viruses, Trojans và worms phát hiện trên hệ thống liên tục đượcgửi đến người dùng.Trong quá trình cài đặt, Antivirus sẽ copy nhưng file này lên ổ hệ thống:%ProgramFiles%AntivirusAvBho.dll%ProgramFiles%AntivirusUninstall.exe%ProgramFiles%Antiviruswscsvc32.exe%ProgramFiles%AntivirusAntivirus.exe%AllUsersProfile%DesktopAntivirus.lnk%AllUsersProfile%Start MenuProgramsAntivirusAntivirus.lnk%AllUsersProfile%Start MenuProgramsAntivirusUninstall.lnk%UserProfile%Application DataMicrosoftInternet ExplorerQuickLaunchAntivirus.lnk%UserProfile%Local SettingsTempwinupd64x.exeVà tạo những khóa registry sau:HKEY_LOCAL_MACHINEsoftwareAntivirusHKEY_LOCAL_MACHINEsoftwareClassesAvBho.AvBhoAppHKEY_LOCAL_MACHINEsoftwareClassesAvBho.AvBhoAppCLSIDHKEY_LOCAL_MACHINEsoftwareClassesAvBho.AvBhoAppCurVerHKEY_LOCAL_MACHINEsoftwareClassesAvBho.AvBhoApp.1HKEY_LOCAL_MACHINEsoftwareClassesAvBho.AvBhoApp.1CLSIDHKEY_LOCAL_MACHINEsoftwareClassesclsid{9d541c6a-573b-4888-b35e-6816e68c3620}HKEY_LOCAL_MACHINEsoftwareClassesclsid{9d541c6a-573b-4888-b35e-6816e68c3620}InprocServer32HKEY_LOCAL_MACHINEsoftwareClassesclsid{9d541c6a-573b-4888-b35e-6816e68c3620}ProgIDHKEY_LOCAL_MACHINEsoftwareClassesclsid{9d541c6a-573b-4888-b35e-6816e68c3620}ProgrammableHKEY_LOCAL_MACHINEsoftwareClassesclsid{9d541c6a-573b-4888-b35e-6816e68c3620}TypeLibHKEY_LOCAL_MACHINEsoftwareClassesclsid{9d541c6a-573b-4888-b35e-6816e68c3620}VersionIndependentProgIDHKEY_LOCAL_MACHINEsoftwareClassesInterface{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}HKEY_LOCAL_MACHINEsoftwareClassesInterface{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}ProxyStubClsidHKEY_LOCAL_MACHINEsoftwareClassesInterface{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}ProxyStubClsid32HKEY_LOCAL_MACHINEsoftwareClassesInterface{967A494A-6AEC-4555-9CAF-FA6EB00ACF91}TypeLibHKEY_LOCAL_MACHINEsoftwareClassesInterface{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}HKEY_LOCAL_MACHINEsoftwareClassesInterface{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}ProxyStubClsidHKEY_LOCAL_MACHINEsoftwareClassesInterface{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}ProxyStubClsid32HKEY_LOCAL_MACHINEsoftwareClassesInterface{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}TypeLibHKEY_LOCAL_MACHINEsoftwareClassesTypelib{65DA0CE6-30D1-4144-A0B6-59BD01372E26}HKEY_LOCAL_MACHINEsoftwareClassesTypelib{65DA0CE6-30D1-4144-A0B6-59BD01372E26}1.0HKEY_LOCAL_MACHINEsoftwareClassesTypelib{65DA0CE6-30D1-4144-A0B6-59BD01372E26}1.0HKEY_LOCAL_MACHINEsoftwareClassesTypelib{65DA0CE6-30D1-4144-A0B6-59BD01372E26}1.0win32HKEY_LOCAL_MACHINEsoftwareClassesTypelib{65DA0CE6-30D1-4144-A0B6-59BD01372E26}1.0FLAGSHKEY_LOCAL_MACHINEsoftwareClassesTypelib{65DA0CE6-30D1-4144-A0B6-59BD01372E26}1.0HELPDIRHKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{9d541c6a-573b-4888-b35e-6816e68c3620}HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurrentVersionUninstallAntivirusHKEY_CURRENT_USERsoftwareMicrosoftWindowsCurrentVersionRun,“Antivirus.exe”HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurrentVersionRun,“wscsvc32.exe”Một số hình ảnh của chương trình:8. Antivirus 7Khác với chương trình giả mạo Antivirus, Antivirus 7 sẽ tự động tạo ra filethực thi của nó trong quá trình hệ thống khởi động, mỗi lần như vậy, ngườidùng sẽ thấy giao diện của Antivirus 7 hiện ra nhanh chóng rồi vụt tắt. Khiquét, Antivirus 7 luôn luôn phát hiện virus và các loại mã độc khác trong thưmục hệ thống (C:Windows và C:WindowsSystem32). Khi người sử dụngđồng ý mua bản quyền để xóa những file độc hại được phát hiện bên trên,Antivirus 7 sẽ tiếp tục lây lan vào các thư mục khác trên hệ thống (và cácmáy tính khác trong mạng nội bộ), trong khi đó Trojan đi kèm liên tục tải cácbiến thể khác của Antivirus 7 từ Internet.Antivirus 7 sẽ tự động sao chép những file sau lên ổ cứng:%Documents and Settings%All UsersStart MenuAV7%Documents and Settings%All UsersStart MenuAV7Antivirus7.lnk%Documents and Settings%All UsersStart MenuAV7Uninstall.lnk%Program Files%AV7%Program Files%AV7antivirus7.exe%WINDOWS%SoftwareDistributionDataStoreLogs mp.edb%WINDOWS%system32UpdateExplorer.dll%UserProfile%DesktopAntivirus7.lnkvà tạo những khóa registry sau:HKEY_CURRENT_USERSoftwareEVA246HKEY_CLASSES_ROOTCLSID{E2BFE352-A30 ...