hoa bovai
08-03-2010, 02:11 PM
13. CleanUP Antivirus
Bên cạnh những tác hại như các chương trình độc hại đã được miêu tả trên, CleanUP Antivirus thực chất có cung cấp cho người dùng chút ít bảo vệ ở mức tối thiểu. Khi cài đặt thành công, CleanUP Antivirus sẽ tự tạo đường dẫn khởi động cùng hệ thống. Và mỗi lần máy tính khởi động, CleanUP Antivirus lại tự quét toàn bộ máy tính, đồng thời liên tục sao chép những file rác vào khắp nơi trên ổ cứng. Mặt khác, khi quá trình rà soát được kích hoạt, CleanUP Antivirus lại tự phát hiện chính những file đó là virus, Trojan hoặc worm, và yêu cầu người dùng mua bản quyền kích hoạt của chương trình.
Sau khi cài đặt thành công lên máy tính của nạn nhân, CleanUP Antivirus sẽ sao chép những file sau lên ổ cứng:
%AllUsersProfile%\Application Data\58969\CUf4c.exe
%AllUsersProfile%\Application Data\58969\CUA.ico
%AllUsersProfile%\Application Data\CUQKWA\CUZNJUENEA.cfg
%UserProfile%\Application Data\CleanUp Antivirus\Instructions.ini
%UserProfile%\Application Data\CleanUp Antivirus\cookies.sqlite
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\CleanUp Antivirus.lnk
%UserProfile%\Desktop\CleanUp Antivirus.lnk
%UserProfile%\Start Menu\CleanUp Antivirus.lnk
%UserProfile%\Start Menu\Programs\CleanUp Antivirus.lnk
Đồng thời tạo những bản ghi sai lệch sau vào file hệ thống Hosts:
74.125.45.100 4-open-davinci.com
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com
74.125.45.100 getantivirusplusnow.com
74.125.45.100 secure-plus-payments.com
74.125.45.100 www.getantivirusplusnow.com
74.125.45.100 Secure-plus-payments.com - Secure-plus-payments and Payment System (http://www.secure-plus-payments.com)
74.125.45.100 www.getavplusnow.com
74.125.45.100 safebrowsing-cache.google.com
74.125.45.100 urs.microsoft.com
74.125.45.100 securesoftwarebill.com (http://www.securesoftwarebill.com)
74.125.45.100 secure.paysecuresystem.com
74.125.45.100 paysoftbillsolution.com
74.125.45.100 protected.maxisoftwaremart.com
Bên cạnh đó, còn tạo và ghi rất nhiều những khóa registry sau:
Bảng khóa registry (http://www.quantrimang.com.vn/photos/image/082010/03/text1.txt)
Giao diện chính của CleanUp Antivirus:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__22.jpg
14. Control Components
Control Components cũng được liệt vào danh sách những phần mềm an ninh giả mạo, với phương thức hoạt động và lây lan không khác gì so với những mẫu trên.
Sau khi cài đặt trên máy tính nạn nhân, Control Components sẽ sao chép toàn bộ những file sau vào phân vùng hệ thống:
%UserProfile%\Application Data\Control Components\settings.ini
%UserProfile%\Application Data\Control Components\uninstall.exe
%UserProfile%\Application Data\Control Components\ccagent.exe
%UserProfile%\Application Data\Control Components\ccmain.exe
%UserProfile%\Application Data\Control Components\faq\guide.html
%UserProfile%\Application Data\Control Components\faq\images\06.png
%UserProfile%\Application Data\Control Components\faq\images\07.png
%UserProfile%\Application Data\Control Components\faq\images\08.png
%UserProfile%\Application Data\Control Components\faq\images\09.png
%UserProfile%\Application Data\Control Components\faq\images\10.png
%UserProfile%\Application Data\Control Components\faq\images\05.png
%UserProfile%\Desktop\Control Components.lnk
Đồng thời tạo tiếp những khóa registry sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Control Components
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run "ccagent.exe"
Một số hình ảnh của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__23.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__24.jpg
15. Digital Protection
Cũng như các phần mềm độc hại đã được liệt kê ở trên, Digital Protection là 1 dạng biến thể mới của dòng CoreGuard, ngoài ra còn có các biến thể cùng dạng như: Your Protection, User Protection, Dr. Guard, Paladin Antivirus.
Khi cài đặt vào hệ thống máy tính của nạn nhân, Digital Protection sẽ liên tục sao chép những file rác sau:
%Documents and Settings%\[UserName]\Desktop\Digital Protection Support.lnk
%Documents and Settings%\[UserName]\Desktop\Digital Protection.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\About.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Activate.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Buy.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Digital Protection Support.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Digital Protection.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Scan.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Settings.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Update.lnk
%Documents and Settings%\[UserName]\Application Data\Microsoft\Internet Explorer\Quick Launch\Digital Protection.lnk
%Program Files%\Digital Protection\
%Program Files%\Digital Protection\about.ico
%Program Files%\Digital Protection\activate.ico
%Program Files%\Digital Protection\buy.ico
%Program Files%\Digital Protection\digprot.exe
%Program Files%\Digital Protection\help.ico
%Program Files%\Digital Protection\scan.ico
%Program Files%\Digital Protection\settings.ico
%Program Files%\Digital Protection\splash.mp3
%Program Files%\Digital Protection\uninstall.exe
%Program Files%\Digital Protection\update.ico
%Program Files%\Digital Protection\virus.mp3
%WINDOWS%\System32\zq5e7t.dll
%WINDOWS%\System32\vurrozj.dll
%WINDOWS%\Temp\avp.exe
%WINDOWS%\Temp\[tên gọi ngẫu nhiên].exe
Và tiếp tục tạo ra những khóa registry sau:
HKEY_LOCAL_MACHINE\software\Digital Protection
HKEY_LOCAL_MACHINE\software\microsoft\Windows\Curr entVersion\Uninstall\Digital Protection
HKEY_CURRENT_USER\software\Microsoft\Windows\Curre ntVersion\Run, "Digital Protection"
Một số hình ảnh chính của Digital Protection:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__25.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__26.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__27.jpg
16. ErrorFix
Được phát tán và lây lan rộng rãi qua trang web ErrorFix | ErrorFix Review | Fix Registry Errors With ErrorFix (http://www.errorfix.org) (địa chỉ này đã không còn tồn tại), tác giả của ErrorFix đồng thời tạo ra thêm công cụ RegTool, cả 2 mẫu này đều được phát hiện bởi Kaspersky Lab và nhận diện không phải là virus: FraudTool.Win32.ErrorFix.b.
Khi được cài đặt thành công vào máy tính, ErrorFix sẽ liên tục hiển thị những thông tin về lỗi registry cực kỳ nghiêm trọng của Windows, và chỉ khi người dùng đồng ý mua key kích hoạt bản quyền, chương trình sẽ tự động khắc phục những lỗi nghiêm trọng đó.
ErrorFix sẽ sao chép những file sau lên ổ cứng sau khi cài đặt:
ErrorFix.exe
Icon.exe
definitions.db
privacy.db
ErrorFix.url
ErrorFix.lnk
ErrorFix Help.lnk
ErrorFix on the Web.lnk
ErrorFix Scan.job
Đồng thời tạo tiếp những khóa trong registry sau:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"ErrorFix" = "C:\Program Files\ErrorFix\ErrorFix.exe -boot"
HKEY_CURRENT_USER\Software\ErrorFix
HKEY_LOCAL_MACHINE\SOFTWARE\ErrorFix
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\{83A867EF-8D2E-4CAF-A1DD-B3996724CF78}
HKEY_CLASSES_ROOT\Installer\UpgradeCodes\2B6D4FBB6 D32BEA409CCCEDDDBC9E08E
HKEY_CLASSES_ROOT\Installer\Features\FE768A38E2D8F AC41ADD3B997642FC87
HKEY_CLASSES_ROOT\Installer\Products\FE768A38E2D8F AC41ADD3B997642FC87
Giao diện chính của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__28.jpg
Cập nhật lúc 10h52' ngày 03/08/2010 (http://www.quantrimang.com.vn/daily/03082010/index.aspx) http://www.quantrimang.com.vn/styles/images/icon_in_03.jpg Bản in (http://www.quantrimang.com.vn/print/69740.aspx)
Chia sẻ (http://www.addthis.com/bookmark.php?v=250&username=xa-4bf4989b0d3bdb86)
19. My Security Engine
My Security Engine với cơ chế tự tạo đường dẫn khởi động cùng hệ thống, và mỗi lần như vậy, chương trình sẽ tạo và sao chép rất nhiều dữ liệu rác vào nhiều thư mục khác nhau trên tất cả các phân vùng. Và mỗi lần khởi động và quét như vậy, số lượng file rác sẽ tăng lên ngày càng nhanh và nhiều. Để xóa bỏ những file này, chương trình yêu cầu người dùng mua bản quyền hoặc mã kích hoạt ứng dụng.
Những file được tạo ra và sao chép lên ổ cứng:
%AllUsersProfile%\Application Data\%random%\MSE.ico
%AllUsersProfile%\Application Data\%random%\MSf4c.exe
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\My Security Engine.lnk
%UserProfile%\Application Data\My Security Engine\cookies.sqlite
%UserProfile%\Application Data\My Security Engine\Instructions.ini
%UserProfile%\Desktop\My Security Engine.lnk
%UserProfile%\Recent\snl2w.dll
%UserProfile%\Recent\snl2w.drv
%UserProfile%\Recent\std.exe
%UserProfile%\Recent\std.tmp
%UserProfile%\Recent\cid.tmp
%UserProfile%\Recent\DBOLE.tmp
%UserProfile%\Recent\eb.dll
%UserProfile%\Recent\eb.tmp
%UserProfile%\Recent\energy.exe
%UserProfile%\Recent\exec.sys
%UserProfile%\Recent\fix.dll
%UserProfile%\Recent\fix.drv
%UserProfile%\Recent\FW.exe
%UserProfile%\Recent\pal.drv
%UserProfile%\Recent\PE.dll
%UserProfile%\Recent\runddlkey.sys
%UserProfile%\Start Menu\My Security Engine.lnk
%UserProfile%\Start Menu\Programs\My Security Engine.lnk
Đồng thời những khóa registry sau cũng được tạo ra:
Bảng khóa registry (http://www.quantrimang.com.vn/photos/image/082010/03/text.txt)
Mặt khác, My Security Engine còn ngăn chặn truy cập tới 1 số trang web bằng cách thay đổi file hệ thống HOSTS. Những thông tin sau đã bị thay đổi trong file HOSTS:
127.0.0.1 localhost
74.125.45.100 4-open-davinci.com
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com
74.125.45.100 getantivirusplusnow.com
74.125.45.100 secure-plus-payments.com
74.125.45.100 www.getantivirusplusnow.com
74.125.45.100 Secure-plus-payments.com - Secure-plus-payments and Payment System (http://www.secure-plus-payments.com)
74.125.45.100 www.getavplusnow.com
74.125.45.100 safebrowsing-cache.google.com
74.125.45.100 urs.microsoft.com
74.125.45.100 securesoftwarebill.com (http://www.securesoftwarebill.com)
74.125.45.100 secure.paysecuresystem.com
74.125.45.100 paysoftbillsolution.com
74.125.45.100 protected.maxisoftwaremart.com
209.212.147.138 Google (http://www.google.com)
209.212.147.138 google.com
209.212.147.138 google.com.au
209.212.147.138 Google (http://www.google.com.au)
209.212.147.138 google.be
209.212.147.138 Google (http://www.google.be)
209.212.147.138 google.com.br
209.212.147.138 Google (http://www.google.com.br)
209.212.147.138 google.ca
209.212.147.138 Google (http://www.google.ca)
209.212.147.138 google.ch
209.212.147.138 Google (http://www.google.ch)
209.212.147.138 google.de
209.212.147.138 Google (http://www.google.de)
209.212.147.138 google.dk
209.212.147.138 Google (http://www.google.dk)
209.212.147.138 google.fr
209.212.147.138 Google (http://www.google.fr)
209.212.147.138 google.ie
209.212.147.138 Google (http://www.google.ie)
209.212.147.138 google.it
209.212.147.138 Google (http://www.google.it)
209.212.147.138 google.co.jp
209.212.147.138 Google (http://www.google.co.jp)
209.212.147.138 google.nl
209.212.147.138 Google (http://www.google.nl)
209.212.147.138 google.no
209.212.147.138 Google (http://www.google.no)
209.212.147.138 google.co.nz
209.212.147.138 Google (http://www.google.co.nz)
209.212.147.138 google.pl
209.212.147.138 Google (http://www.google.pl)
209.212.147.138 google.se
209.212.147.138 Google (http://www.google.se)
209.212.147.138 google.co.uk
209.212.147.138 Google (http://www.google.co.uk)
209.212.147.138 google.co.za
209.212.147.138 Google (http://www.google.co.za)
209.212.147.138 Google Analytics | Official Website (http://www.google-analytics.com)
209.212.147.138 Bing (http://www.bing.com)
209.212.147.138 search.yahoo.com
209.212.147.138 www.search.yahoo.com
209.212.147.138 uk.search.yahoo.com
209.212.147.138 ca.search.yahoo.com
209.212.147.138 de.search.yahoo.com
209.212.147.138 fr.search.yahoo.com
209.212.147.138 au.search.yahoo.com
Triệu chứng rất dễ nhận biết của hiện tượng này là người dùng không thể kết nối tới trang chủ Kaspersky Lab: Antivirus software (http://www.kaspersky.com), và có liên quan tới các sản phẩm sau:
- Kaspersky Anti-Virus 6.0\7.0\2009 (tất cả các phiên bản)
- Kaspersky Internet Security 6.0\7.0\2009 (tất cả các phiên bản)
- Kaspersky Anti-Virus 5.0 Personal (tất cả các phiên bản)
- Kaspersky Anti-Virus 5.0 Personal Pro (tất cả các phiên bản)
- Kaspersky Anti-Hacker 1.8
- Kaspersky Anti-Virus 5.0\6.0 dành cho Windows Workstations (tất cả các phiên bản)
- Kaspersky Anti-Virus 5.0\6.0 SOS
Để tạm thời khắc phục hiện tượng này, các bạn có thể áp dụng cách thủ công sau: tìm vị trí của file hệ thống HOSTS (với Windows-95/98/ME thì tại thư mục gốc cài đặt hệ thống, với Windows NT/2000/XP/Vista/7 thì tại thư mục System32/drivers/etc), mở file với bất kỳ chương trình soạn thảo nào (ví dụ NotePad, WordPad) dưới quyền Administrator, xóa tất cả các dòng địa chỉ ngoại trừ 127.0.0.1 localhost. Hoặc thay thế bằng file HOSTS được cung cấp bởi Kaspersky tại đây (http://support.kaspersky.com/downloads/hosts/hosts).
Giao diện chính của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__36.jpg
20. New Antivirus 2010
Khi thâm nhập và cài đặt thành công lên máy tính nạn nhân, New Antivirus 2010 sẽ liên tục đưa ra cảnh báo sai lầm về tình hình viruses, Trojans và worms phát hiện được trên hệ thống, đồng thời yêu cầu người dùng mua bản quyền hoặc key kích hoạt để sử dụng tất cả các chức năng và diệt toàn bộ virus được cảnh báo trên hệ thống.
Những file sau được New Antivirus 2010 sao chép lên ổ hệ thống:
%Documents and Settings%\All Users\Start Menu\Programs\New Antivirus 2010
%Documents and Settings%\All Users\Desktop\New Antivirus 2010.lnk
%Documents and Settings%\All Users\Application Data\Microsoft\Machine\WStech.dll
Và tiếp tục tạo ra những khóa registry sau:
HKEY_LOCAL_MACHINE\SOFTWARE\New Antivirus 2010
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run "New Antivirus 2010"
Giao diện chính của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__37.jpg
21. PcSecureNet
PcSecureNet là 1 dạng biến thể mới của dòng Winiguard/Winisoft, được phát tán và lây lan rộng rãi qua địa chỉ www.pcsecurenet.com (đã không còn tồn tại), bên cạnh đó còn những biến thể đáng chú ý sau:
PcsSecure, APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.
Với cách thức lây lan khá phổ biến, PcSecureNet sẽ liên tục tạo ra số lượng file rỗng nhất định với nhiều tên gọi khác nhau sau khi cài đặt thành công vào máy tính của nạn nhân. Và khi người dùng tiến hành quét toàn bộ hệ thống, PcSecureNet sẽ phát hiện và cảnh báo những file đó là mã độc, và “dụ dỗ” người dùng mua bản quyền hoặc key kích hoạt.
Những file sau được tạo ra và sao chép trong quá trình cài đặt:
%ProgramFiles%\PcSecureNet Software\ApcSafe\PcSecureNet.exe
%ProgramFiles%\PcSecureNet Software\ApcSafe\main_config.xml
%ProgramFiles%\PcSecureNet Software\ApcSafe\uninstall.exe
%AllUsersProfile%\Desktop\PcSecureNet.lnk
%AllUsersProfile%\Start Menu\Programs\PcSecureNet\1 PcSecureNet.lnk
%AllUsersProfile%\Start Menu\Programs\PcSecureNet\2 Homepage.lnk
%AllUsersProfile%\Start Menu\Programs\PcSecureNet\3 Uninstall.lnk
và những khóa registry sau:
HKEY_LOCAL_MACHINE\software\PcSecureNet
HKEY_LOCAL_MACHINE\software\microsoft\Windows\Curr entVersion\Uninstall\PcSecureNet
HKEY_CURRENT_USER\software\PcSecureNet
HKEY_LOCAL_MACHINE\software\microsoft\Windows\Curr entVersion\Run, “PcSecureNet”
HKEY_CURRENT_USER\software\Microsoft\Windows\Curre ntVersion\Run, “PcSecureNet”
Một số hình ảnh chính của PcSecureNet:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__38.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__39.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__40.jpg
22. PcsSecure
PcsSecure – cũng tương tự như PcSecureNet, là 1 dạng biến thể của Winiguard/Winisoft, được phát tán và lây truyền qua địa chỉ www.pcssecure.com (đã không còn tồn tại), bên cạnh đó còn khá nhiều biến thể tương đương như:
APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.
Sau khi xâm nhập và cài đặt thành công vào máy tính của nạn nhân, PcsSecure sẽ tự tạo ra 1 số lượng nhất định các file rỗng với các tên gọi khác nhau, mỗi khi quét, PcsSecure sẽ cảnh báo người dùng về những file này là mã độc hoặc virus, và chỉ chờ người dùng đồng ý mua bản quyền hoặc mã kích hoạt.
Khi cài đặt, PcsSecure sẽ tạo ra những file sau:
%ProgramFiles%\PcsSecure Software\PcsSecure\always_delete.xml
%ProgramFiles%\PcsSecure Software\PcsSecure\always_skip.xml
%ProgramFiles%\PcsSecure Software\PcsSecure\main_config.xml
%ProgramFiles%\PcsSecure Software\PcsSecure\PcsSecure.exe
%ProgramFiles%\PcsSecure Software\PcsSecure\uninstall.exe
%ProgramFiles%\PcsSecure Software\PcsSecure\quarantine\quarantine.xml
%AllUsersProfile%\Desktop\PcsSecure.lnk
%AllUsersProfile%\Start Menu\Programs\PcsSecure\1 PcsSecure.lnk
%AllUsersProfile%\Start Menu\Programs\PcsSecure\2 Homepage.lnk
%AllUsersProfile%\Start Menu\Programs\PcsSecure\3 Uninstall.lnk
%UserProfile%\Cookies\userdemo@pcssecure[1].txt
Và các khóa tương tự trong registry:
HKEY_LOCAL_MACHINE\software\microsoft\Windows\Curr entVersion\Uninstall\PcsSecure
HKEY_LOCAL_MACHINE\software\PcsSecure
HKEY_CURRENT_USER\software\PcsSecure
HKEY_LOCAL_MACHINE\software\microsoft\Windows\Curr entVersion\Run, “PcsSecure”
HKEY_CURRENT_USER\software\Microsoft\Windows\Curre ntVersion\Run, “PcsSecure”
Một số hình ảnh của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__41.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__42.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__43.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__44.jpg
23. ProtectDefender
Được phát tán rộng rãi qua nguồn www.protectdefender.com (địa chỉ này đã không còn tồn tại), ProtectDefender cũng là 1 dạng biến thể của “gia đình” Winiguard/Winisoft phổ biến, bên cạnh đó có thể kể đến các “đồng nghiệp” sau:
APcSafe, APcSecure, ProtectSoldier, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.
Khi thâm nhập thành công vào máy tính của nạn nhân, ProtectDefender sẽ liên tục tạo ra số lượng nhất định những file rỗng trong thư mục hệ thống C:\Windows và C:\Windows\System32, và đương nhiên, khi khởi động hoặc quét toàn bộ hệ thống, ProtectDefender sẽ cảnh báo đã phát hiện rất nhiều mã độc trong máy tính, đồng thời yêu cầu người sử dụng mua bản quyền hoặc mã kích hoạt.
Những file sau được ProtectDefender tạo ra trong quá trình cài đặt:
%UserProfile%\Desktop\ProtectDefender.lnk
%UserProfile%\Start Menu\Programs\ProtectDefender.lnk
c:\Program Files\ProtectDefender Software
c:\Program Files\ProtectDefender Software\ProtectDefender
c:\Program Files\ProtectDefender Software\ProtectDefender\ProtectDefender.exe
c:\Program Files\ProtectDefender Software\ProtectDefender\Uninstall.exe
c:\WINDOWS59zwo5m236.ocx
c:\WINDOWS980haczt9ol3e5.bin
c:\WINDOWS\system3228downlo5dez11979.bin
c:\WINDOWS\system329zbackdoor1975.bin
c:\WINDOWS\system3299zir5s6ef.ocx
Và các khóa registry sau:
HKEY_CURRENT_USER\Software\ProtectDefender
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\ProtectDefender
HKEY_LOCAL_MACHINE\SOFTWARE\ProtectDefender
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "ProtectDefender"
Giao diện chính của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__45.jpg
24. RegistryFox
Là 1 phần mềm an ninh giả mạo, khéo léo ngụy trang thành ứng dụng quét virus và rà soát hệ thống registry trong Windows. RegistryFox được phát tán rộng rãi qua trang web Welcome to RegistryFOX - Scan, Repair & Speed Your PC (http://www.registryfox.com), nhưng lại được Kaspersky Lab phát hiện rằng không phải dòng virus FraudTool.Win32.RegistryFox.a.
Khi được cài đặt thành công vào máy tính của nạn nhân, RegistryFox sẽ liên tục tạo ra các thông tin cảnh báo sai lệch về tình trạng lỗi nghiêm trọng trong registry của hệ điều hành. Chỉ khi người dùng đồng ý mua key kích hoạt bản quyền, RegistryFox sẽ dừng thông báo và “khắc phục” những lỗi đó.
RegistryFox sẽ sao chép những file sau lên máy tính của nạn nhân:
C:\Config.Msi\4f7ea.rbs
%ProgramFiles%\RegistryFox
%ProgramFiles%\RegistryFox\RegistryFox.url
%ProgramFiles%\RegistryFox\RegistryFox.exe
%ProgramFiles%\RegistryFox\TCL.dll
%ProgramFiles%\RegistryFox\RegCleaner.dll
%ProgramFiles%\RegistryFox\DataBase.ref
%ProgramFiles%\RegistryFox\zlib.dll
%AllUsers%\Start Menu\Programs\RegistryFox
%AllUsers%\Start Menu\Programs\RegistryFox\RegistryFox.lnk
%AllUsers%\Desktop\RegistryFox.lnk
%AllUsers%\Start Menu\Programs\RegistryFox\RegistryFox on the Web.lnk
C:\WINDOWS\Installer\4f7eb.msi
và khóa registry chính sau:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Registry Fox
Một số hình ảnh của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__46.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__47.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__48.jpg
25. RegTool
Với cách thức hoạt động và lây lan tương tự ErrorFix, RegTool được chủ yếu phát tán qua trang web RegTOOL - Advanced System Cleaner & Update Tool (http://www.regtool.com), nhưng Kaspersky Lab không liệt chương trình giả mạo này thành FraudTool.Win32.RegTool.b.
Khi RegTool được cài đặt thành công, khi người dùng kích hoạt tính năng rà soát trong hệ thống registry, chương trình sẽ cảnh báo hệ thống với lỗi registry nghiêm trọng, đồng thời yêu cầu người dùng mua key kích hoạt bản quyền.
RegTool sẽ sao chép những file sau lên phân vùng hệ thống sau khi cài đặt:
regtool.exe
regtool5.dll
RegTool.lnk
và những khóa registry sau:
HKEY_CURRENT_USER\Software\RegTool
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run "RegTool"
Giao diện chính của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__49.jpg
26. RST Antivirus 2010
RST Antivirus 2010 được Kaspersky Lab phát hiện và liệt kê vào danh sách biến thể của Trojan.Win32.FakeAV.pz, và phát tán rộng rãi qua trang web RTS Antivirus 2010 (http://rtsantivirus2010.com/). Khi xâm nhập thành công vào máy tính của nạn nhân, RST Antivirus 2010 sẽ liên tục tạo ra các thông báo lỗi về viruses, Trojans và worms tồn tại trên hệ thống, và RST Antivirus 2010 sẽ khắc phục triệt để những lỗi này khi người dùng đồng ý mua key kích hoạt bản quyền.
Sau khi cài đặt vào máy tính, RST Antivirus 2010 sẽ sao chép những file sau vào ổ cứng:
%ProgramFiles%\adc32.dll
%ProgramFiles%\alggui.exe
%ProgramFiles%\nuar.old
%ProgramFiles%\skynet.dat
%ProgramFiles%\svchost.exe
%ProgramFiles%\wp3.dat
%ProgramFiles%\wp4.dat
%ProgramFiles%\rst antivirus 2010\rst antivirus 2010.exe
%ProgramFiles%\rst antivirus 2010\comdlg32.dll
%ProgramFiles%\rst antivirus 2010\dwmapi.dll
%ProgramFiles%\rst antivirus 2010\libclamav.dll
%ProgramFiles%\rst antivirus 2010\oledlg.dll
%ProgramFiles%\rst antivirus 2010\pthreadvc2.dll
%ProgramFiles%\rst antivirus 2010\uninstall.bat
%ProgramFiles%\rst antivirus 2010\wininet.dll
%Programs%\RTS Antivirus 2010.lnk
%Desktop%\RTS Antivirus 2010.lnk
và những khóa registry sau:
HKCU\Software\RTS Antivirus 2010
HKCR\CLSID\{77DC0Baa-3235-4ba9-8BE8-aa9EB678FA02}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{77DC0Baa-3235-4ba9-8BE8-aa9EB678FA02}
HKLM\SYSTEM\CurrentControlSet\Services\AdbUpd
Giao diện chính của chương trình RST Antivirus 2010:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__50.jpg
(quantrimang.com.vn)
Bên cạnh những tác hại như các chương trình độc hại đã được miêu tả trên, CleanUP Antivirus thực chất có cung cấp cho người dùng chút ít bảo vệ ở mức tối thiểu. Khi cài đặt thành công, CleanUP Antivirus sẽ tự tạo đường dẫn khởi động cùng hệ thống. Và mỗi lần máy tính khởi động, CleanUP Antivirus lại tự quét toàn bộ máy tính, đồng thời liên tục sao chép những file rác vào khắp nơi trên ổ cứng. Mặt khác, khi quá trình rà soát được kích hoạt, CleanUP Antivirus lại tự phát hiện chính những file đó là virus, Trojan hoặc worm, và yêu cầu người dùng mua bản quyền kích hoạt của chương trình.
Sau khi cài đặt thành công lên máy tính của nạn nhân, CleanUP Antivirus sẽ sao chép những file sau lên ổ cứng:
%AllUsersProfile%\Application Data\58969\CUf4c.exe
%AllUsersProfile%\Application Data\58969\CUA.ico
%AllUsersProfile%\Application Data\CUQKWA\CUZNJUENEA.cfg
%UserProfile%\Application Data\CleanUp Antivirus\Instructions.ini
%UserProfile%\Application Data\CleanUp Antivirus\cookies.sqlite
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\CleanUp Antivirus.lnk
%UserProfile%\Desktop\CleanUp Antivirus.lnk
%UserProfile%\Start Menu\CleanUp Antivirus.lnk
%UserProfile%\Start Menu\Programs\CleanUp Antivirus.lnk
Đồng thời tạo những bản ghi sai lệch sau vào file hệ thống Hosts:
74.125.45.100 4-open-davinci.com
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com
74.125.45.100 getantivirusplusnow.com
74.125.45.100 secure-plus-payments.com
74.125.45.100 www.getantivirusplusnow.com
74.125.45.100 Secure-plus-payments.com - Secure-plus-payments and Payment System (http://www.secure-plus-payments.com)
74.125.45.100 www.getavplusnow.com
74.125.45.100 safebrowsing-cache.google.com
74.125.45.100 urs.microsoft.com
74.125.45.100 securesoftwarebill.com (http://www.securesoftwarebill.com)
74.125.45.100 secure.paysecuresystem.com
74.125.45.100 paysoftbillsolution.com
74.125.45.100 protected.maxisoftwaremart.com
Bên cạnh đó, còn tạo và ghi rất nhiều những khóa registry sau:
Bảng khóa registry (http://www.quantrimang.com.vn/photos/image/082010/03/text1.txt)
Giao diện chính của CleanUp Antivirus:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__22.jpg
14. Control Components
Control Components cũng được liệt vào danh sách những phần mềm an ninh giả mạo, với phương thức hoạt động và lây lan không khác gì so với những mẫu trên.
Sau khi cài đặt trên máy tính nạn nhân, Control Components sẽ sao chép toàn bộ những file sau vào phân vùng hệ thống:
%UserProfile%\Application Data\Control Components\settings.ini
%UserProfile%\Application Data\Control Components\uninstall.exe
%UserProfile%\Application Data\Control Components\ccagent.exe
%UserProfile%\Application Data\Control Components\ccmain.exe
%UserProfile%\Application Data\Control Components\faq\guide.html
%UserProfile%\Application Data\Control Components\faq\images\06.png
%UserProfile%\Application Data\Control Components\faq\images\07.png
%UserProfile%\Application Data\Control Components\faq\images\08.png
%UserProfile%\Application Data\Control Components\faq\images\09.png
%UserProfile%\Application Data\Control Components\faq\images\10.png
%UserProfile%\Application Data\Control Components\faq\images\05.png
%UserProfile%\Desktop\Control Components.lnk
Đồng thời tạo tiếp những khóa registry sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Control Components
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run "ccagent.exe"
Một số hình ảnh của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__23.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__24.jpg
15. Digital Protection
Cũng như các phần mềm độc hại đã được liệt kê ở trên, Digital Protection là 1 dạng biến thể mới của dòng CoreGuard, ngoài ra còn có các biến thể cùng dạng như: Your Protection, User Protection, Dr. Guard, Paladin Antivirus.
Khi cài đặt vào hệ thống máy tính của nạn nhân, Digital Protection sẽ liên tục sao chép những file rác sau:
%Documents and Settings%\[UserName]\Desktop\Digital Protection Support.lnk
%Documents and Settings%\[UserName]\Desktop\Digital Protection.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\About.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Activate.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Buy.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Digital Protection Support.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Digital Protection.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Scan.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Settings.lnk
%Documents and Settings%\[UserName]\Start Menu\Programs\Digital Protection\Update.lnk
%Documents and Settings%\[UserName]\Application Data\Microsoft\Internet Explorer\Quick Launch\Digital Protection.lnk
%Program Files%\Digital Protection\
%Program Files%\Digital Protection\about.ico
%Program Files%\Digital Protection\activate.ico
%Program Files%\Digital Protection\buy.ico
%Program Files%\Digital Protection\digprot.exe
%Program Files%\Digital Protection\help.ico
%Program Files%\Digital Protection\scan.ico
%Program Files%\Digital Protection\settings.ico
%Program Files%\Digital Protection\splash.mp3
%Program Files%\Digital Protection\uninstall.exe
%Program Files%\Digital Protection\update.ico
%Program Files%\Digital Protection\virus.mp3
%WINDOWS%\System32\zq5e7t.dll
%WINDOWS%\System32\vurrozj.dll
%WINDOWS%\Temp\avp.exe
%WINDOWS%\Temp\[tên gọi ngẫu nhiên].exe
Và tiếp tục tạo ra những khóa registry sau:
HKEY_LOCAL_MACHINE\software\Digital Protection
HKEY_LOCAL_MACHINE\software\microsoft\Windows\Curr entVersion\Uninstall\Digital Protection
HKEY_CURRENT_USER\software\Microsoft\Windows\Curre ntVersion\Run, "Digital Protection"
Một số hình ảnh chính của Digital Protection:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__25.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__26.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__27.jpg
16. ErrorFix
Được phát tán và lây lan rộng rãi qua trang web ErrorFix | ErrorFix Review | Fix Registry Errors With ErrorFix (http://www.errorfix.org) (địa chỉ này đã không còn tồn tại), tác giả của ErrorFix đồng thời tạo ra thêm công cụ RegTool, cả 2 mẫu này đều được phát hiện bởi Kaspersky Lab và nhận diện không phải là virus: FraudTool.Win32.ErrorFix.b.
Khi được cài đặt thành công vào máy tính, ErrorFix sẽ liên tục hiển thị những thông tin về lỗi registry cực kỳ nghiêm trọng của Windows, và chỉ khi người dùng đồng ý mua key kích hoạt bản quyền, chương trình sẽ tự động khắc phục những lỗi nghiêm trọng đó.
ErrorFix sẽ sao chép những file sau lên ổ cứng sau khi cài đặt:
ErrorFix.exe
Icon.exe
definitions.db
privacy.db
ErrorFix.url
ErrorFix.lnk
ErrorFix Help.lnk
ErrorFix on the Web.lnk
ErrorFix Scan.job
Đồng thời tạo tiếp những khóa trong registry sau:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"ErrorFix" = "C:\Program Files\ErrorFix\ErrorFix.exe -boot"
HKEY_CURRENT_USER\Software\ErrorFix
HKEY_LOCAL_MACHINE\SOFTWARE\ErrorFix
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\{83A867EF-8D2E-4CAF-A1DD-B3996724CF78}
HKEY_CLASSES_ROOT\Installer\UpgradeCodes\2B6D4FBB6 D32BEA409CCCEDDDBC9E08E
HKEY_CLASSES_ROOT\Installer\Features\FE768A38E2D8F AC41ADD3B997642FC87
HKEY_CLASSES_ROOT\Installer\Products\FE768A38E2D8F AC41ADD3B997642FC87
Giao diện chính của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__28.jpg
Cập nhật lúc 10h52' ngày 03/08/2010 (http://www.quantrimang.com.vn/daily/03082010/index.aspx) http://www.quantrimang.com.vn/styles/images/icon_in_03.jpg Bản in (http://www.quantrimang.com.vn/print/69740.aspx)
Chia sẻ (http://www.addthis.com/bookmark.php?v=250&username=xa-4bf4989b0d3bdb86)
19. My Security Engine
My Security Engine với cơ chế tự tạo đường dẫn khởi động cùng hệ thống, và mỗi lần như vậy, chương trình sẽ tạo và sao chép rất nhiều dữ liệu rác vào nhiều thư mục khác nhau trên tất cả các phân vùng. Và mỗi lần khởi động và quét như vậy, số lượng file rác sẽ tăng lên ngày càng nhanh và nhiều. Để xóa bỏ những file này, chương trình yêu cầu người dùng mua bản quyền hoặc mã kích hoạt ứng dụng.
Những file được tạo ra và sao chép lên ổ cứng:
%AllUsersProfile%\Application Data\%random%\MSE.ico
%AllUsersProfile%\Application Data\%random%\MSf4c.exe
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\My Security Engine.lnk
%UserProfile%\Application Data\My Security Engine\cookies.sqlite
%UserProfile%\Application Data\My Security Engine\Instructions.ini
%UserProfile%\Desktop\My Security Engine.lnk
%UserProfile%\Recent\snl2w.dll
%UserProfile%\Recent\snl2w.drv
%UserProfile%\Recent\std.exe
%UserProfile%\Recent\std.tmp
%UserProfile%\Recent\cid.tmp
%UserProfile%\Recent\DBOLE.tmp
%UserProfile%\Recent\eb.dll
%UserProfile%\Recent\eb.tmp
%UserProfile%\Recent\energy.exe
%UserProfile%\Recent\exec.sys
%UserProfile%\Recent\fix.dll
%UserProfile%\Recent\fix.drv
%UserProfile%\Recent\FW.exe
%UserProfile%\Recent\pal.drv
%UserProfile%\Recent\PE.dll
%UserProfile%\Recent\runddlkey.sys
%UserProfile%\Start Menu\My Security Engine.lnk
%UserProfile%\Start Menu\Programs\My Security Engine.lnk
Đồng thời những khóa registry sau cũng được tạo ra:
Bảng khóa registry (http://www.quantrimang.com.vn/photos/image/082010/03/text.txt)
Mặt khác, My Security Engine còn ngăn chặn truy cập tới 1 số trang web bằng cách thay đổi file hệ thống HOSTS. Những thông tin sau đã bị thay đổi trong file HOSTS:
127.0.0.1 localhost
74.125.45.100 4-open-davinci.com
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com
74.125.45.100 getantivirusplusnow.com
74.125.45.100 secure-plus-payments.com
74.125.45.100 www.getantivirusplusnow.com
74.125.45.100 Secure-plus-payments.com - Secure-plus-payments and Payment System (http://www.secure-plus-payments.com)
74.125.45.100 www.getavplusnow.com
74.125.45.100 safebrowsing-cache.google.com
74.125.45.100 urs.microsoft.com
74.125.45.100 securesoftwarebill.com (http://www.securesoftwarebill.com)
74.125.45.100 secure.paysecuresystem.com
74.125.45.100 paysoftbillsolution.com
74.125.45.100 protected.maxisoftwaremart.com
209.212.147.138 Google (http://www.google.com)
209.212.147.138 google.com
209.212.147.138 google.com.au
209.212.147.138 Google (http://www.google.com.au)
209.212.147.138 google.be
209.212.147.138 Google (http://www.google.be)
209.212.147.138 google.com.br
209.212.147.138 Google (http://www.google.com.br)
209.212.147.138 google.ca
209.212.147.138 Google (http://www.google.ca)
209.212.147.138 google.ch
209.212.147.138 Google (http://www.google.ch)
209.212.147.138 google.de
209.212.147.138 Google (http://www.google.de)
209.212.147.138 google.dk
209.212.147.138 Google (http://www.google.dk)
209.212.147.138 google.fr
209.212.147.138 Google (http://www.google.fr)
209.212.147.138 google.ie
209.212.147.138 Google (http://www.google.ie)
209.212.147.138 google.it
209.212.147.138 Google (http://www.google.it)
209.212.147.138 google.co.jp
209.212.147.138 Google (http://www.google.co.jp)
209.212.147.138 google.nl
209.212.147.138 Google (http://www.google.nl)
209.212.147.138 google.no
209.212.147.138 Google (http://www.google.no)
209.212.147.138 google.co.nz
209.212.147.138 Google (http://www.google.co.nz)
209.212.147.138 google.pl
209.212.147.138 Google (http://www.google.pl)
209.212.147.138 google.se
209.212.147.138 Google (http://www.google.se)
209.212.147.138 google.co.uk
209.212.147.138 Google (http://www.google.co.uk)
209.212.147.138 google.co.za
209.212.147.138 Google (http://www.google.co.za)
209.212.147.138 Google Analytics | Official Website (http://www.google-analytics.com)
209.212.147.138 Bing (http://www.bing.com)
209.212.147.138 search.yahoo.com
209.212.147.138 www.search.yahoo.com
209.212.147.138 uk.search.yahoo.com
209.212.147.138 ca.search.yahoo.com
209.212.147.138 de.search.yahoo.com
209.212.147.138 fr.search.yahoo.com
209.212.147.138 au.search.yahoo.com
Triệu chứng rất dễ nhận biết của hiện tượng này là người dùng không thể kết nối tới trang chủ Kaspersky Lab: Antivirus software (http://www.kaspersky.com), và có liên quan tới các sản phẩm sau:
- Kaspersky Anti-Virus 6.0\7.0\2009 (tất cả các phiên bản)
- Kaspersky Internet Security 6.0\7.0\2009 (tất cả các phiên bản)
- Kaspersky Anti-Virus 5.0 Personal (tất cả các phiên bản)
- Kaspersky Anti-Virus 5.0 Personal Pro (tất cả các phiên bản)
- Kaspersky Anti-Hacker 1.8
- Kaspersky Anti-Virus 5.0\6.0 dành cho Windows Workstations (tất cả các phiên bản)
- Kaspersky Anti-Virus 5.0\6.0 SOS
Để tạm thời khắc phục hiện tượng này, các bạn có thể áp dụng cách thủ công sau: tìm vị trí của file hệ thống HOSTS (với Windows-95/98/ME thì tại thư mục gốc cài đặt hệ thống, với Windows NT/2000/XP/Vista/7 thì tại thư mục System32/drivers/etc), mở file với bất kỳ chương trình soạn thảo nào (ví dụ NotePad, WordPad) dưới quyền Administrator, xóa tất cả các dòng địa chỉ ngoại trừ 127.0.0.1 localhost. Hoặc thay thế bằng file HOSTS được cung cấp bởi Kaspersky tại đây (http://support.kaspersky.com/downloads/hosts/hosts).
Giao diện chính của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__36.jpg
20. New Antivirus 2010
Khi thâm nhập và cài đặt thành công lên máy tính nạn nhân, New Antivirus 2010 sẽ liên tục đưa ra cảnh báo sai lầm về tình hình viruses, Trojans và worms phát hiện được trên hệ thống, đồng thời yêu cầu người dùng mua bản quyền hoặc key kích hoạt để sử dụng tất cả các chức năng và diệt toàn bộ virus được cảnh báo trên hệ thống.
Những file sau được New Antivirus 2010 sao chép lên ổ hệ thống:
%Documents and Settings%\All Users\Start Menu\Programs\New Antivirus 2010
%Documents and Settings%\All Users\Desktop\New Antivirus 2010.lnk
%Documents and Settings%\All Users\Application Data\Microsoft\Machine\WStech.dll
Và tiếp tục tạo ra những khóa registry sau:
HKEY_LOCAL_MACHINE\SOFTWARE\New Antivirus 2010
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run "New Antivirus 2010"
Giao diện chính của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__37.jpg
21. PcSecureNet
PcSecureNet là 1 dạng biến thể mới của dòng Winiguard/Winisoft, được phát tán và lây lan rộng rãi qua địa chỉ www.pcsecurenet.com (đã không còn tồn tại), bên cạnh đó còn những biến thể đáng chú ý sau:
PcsSecure, APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.
Với cách thức lây lan khá phổ biến, PcSecureNet sẽ liên tục tạo ra số lượng file rỗng nhất định với nhiều tên gọi khác nhau sau khi cài đặt thành công vào máy tính của nạn nhân. Và khi người dùng tiến hành quét toàn bộ hệ thống, PcSecureNet sẽ phát hiện và cảnh báo những file đó là mã độc, và “dụ dỗ” người dùng mua bản quyền hoặc key kích hoạt.
Những file sau được tạo ra và sao chép trong quá trình cài đặt:
%ProgramFiles%\PcSecureNet Software\ApcSafe\PcSecureNet.exe
%ProgramFiles%\PcSecureNet Software\ApcSafe\main_config.xml
%ProgramFiles%\PcSecureNet Software\ApcSafe\uninstall.exe
%AllUsersProfile%\Desktop\PcSecureNet.lnk
%AllUsersProfile%\Start Menu\Programs\PcSecureNet\1 PcSecureNet.lnk
%AllUsersProfile%\Start Menu\Programs\PcSecureNet\2 Homepage.lnk
%AllUsersProfile%\Start Menu\Programs\PcSecureNet\3 Uninstall.lnk
và những khóa registry sau:
HKEY_LOCAL_MACHINE\software\PcSecureNet
HKEY_LOCAL_MACHINE\software\microsoft\Windows\Curr entVersion\Uninstall\PcSecureNet
HKEY_CURRENT_USER\software\PcSecureNet
HKEY_LOCAL_MACHINE\software\microsoft\Windows\Curr entVersion\Run, “PcSecureNet”
HKEY_CURRENT_USER\software\Microsoft\Windows\Curre ntVersion\Run, “PcSecureNet”
Một số hình ảnh chính của PcSecureNet:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__38.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__39.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__40.jpg
22. PcsSecure
PcsSecure – cũng tương tự như PcSecureNet, là 1 dạng biến thể của Winiguard/Winisoft, được phát tán và lây truyền qua địa chỉ www.pcssecure.com (đã không còn tồn tại), bên cạnh đó còn khá nhiều biến thể tương đương như:
APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.
Sau khi xâm nhập và cài đặt thành công vào máy tính của nạn nhân, PcsSecure sẽ tự tạo ra 1 số lượng nhất định các file rỗng với các tên gọi khác nhau, mỗi khi quét, PcsSecure sẽ cảnh báo người dùng về những file này là mã độc hoặc virus, và chỉ chờ người dùng đồng ý mua bản quyền hoặc mã kích hoạt.
Khi cài đặt, PcsSecure sẽ tạo ra những file sau:
%ProgramFiles%\PcsSecure Software\PcsSecure\always_delete.xml
%ProgramFiles%\PcsSecure Software\PcsSecure\always_skip.xml
%ProgramFiles%\PcsSecure Software\PcsSecure\main_config.xml
%ProgramFiles%\PcsSecure Software\PcsSecure\PcsSecure.exe
%ProgramFiles%\PcsSecure Software\PcsSecure\uninstall.exe
%ProgramFiles%\PcsSecure Software\PcsSecure\quarantine\quarantine.xml
%AllUsersProfile%\Desktop\PcsSecure.lnk
%AllUsersProfile%\Start Menu\Programs\PcsSecure\1 PcsSecure.lnk
%AllUsersProfile%\Start Menu\Programs\PcsSecure\2 Homepage.lnk
%AllUsersProfile%\Start Menu\Programs\PcsSecure\3 Uninstall.lnk
%UserProfile%\Cookies\userdemo@pcssecure[1].txt
Và các khóa tương tự trong registry:
HKEY_LOCAL_MACHINE\software\microsoft\Windows\Curr entVersion\Uninstall\PcsSecure
HKEY_LOCAL_MACHINE\software\PcsSecure
HKEY_CURRENT_USER\software\PcsSecure
HKEY_LOCAL_MACHINE\software\microsoft\Windows\Curr entVersion\Run, “PcsSecure”
HKEY_CURRENT_USER\software\Microsoft\Windows\Curre ntVersion\Run, “PcsSecure”
Một số hình ảnh của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__41.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__42.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__43.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__44.jpg
23. ProtectDefender
Được phát tán rộng rãi qua nguồn www.protectdefender.com (địa chỉ này đã không còn tồn tại), ProtectDefender cũng là 1 dạng biến thể của “gia đình” Winiguard/Winisoft phổ biến, bên cạnh đó có thể kể đến các “đồng nghiệp” sau:
APcSafe, APcSecure, ProtectSoldier, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.
Khi thâm nhập thành công vào máy tính của nạn nhân, ProtectDefender sẽ liên tục tạo ra số lượng nhất định những file rỗng trong thư mục hệ thống C:\Windows và C:\Windows\System32, và đương nhiên, khi khởi động hoặc quét toàn bộ hệ thống, ProtectDefender sẽ cảnh báo đã phát hiện rất nhiều mã độc trong máy tính, đồng thời yêu cầu người sử dụng mua bản quyền hoặc mã kích hoạt.
Những file sau được ProtectDefender tạo ra trong quá trình cài đặt:
%UserProfile%\Desktop\ProtectDefender.lnk
%UserProfile%\Start Menu\Programs\ProtectDefender.lnk
c:\Program Files\ProtectDefender Software
c:\Program Files\ProtectDefender Software\ProtectDefender
c:\Program Files\ProtectDefender Software\ProtectDefender\ProtectDefender.exe
c:\Program Files\ProtectDefender Software\ProtectDefender\Uninstall.exe
c:\WINDOWS59zwo5m236.ocx
c:\WINDOWS980haczt9ol3e5.bin
c:\WINDOWS\system3228downlo5dez11979.bin
c:\WINDOWS\system329zbackdoor1975.bin
c:\WINDOWS\system3299zir5s6ef.ocx
Và các khóa registry sau:
HKEY_CURRENT_USER\Software\ProtectDefender
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\ProtectDefender
HKEY_LOCAL_MACHINE\SOFTWARE\ProtectDefender
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "ProtectDefender"
Giao diện chính của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__45.jpg
24. RegistryFox
Là 1 phần mềm an ninh giả mạo, khéo léo ngụy trang thành ứng dụng quét virus và rà soát hệ thống registry trong Windows. RegistryFox được phát tán rộng rãi qua trang web Welcome to RegistryFOX - Scan, Repair & Speed Your PC (http://www.registryfox.com), nhưng lại được Kaspersky Lab phát hiện rằng không phải dòng virus FraudTool.Win32.RegistryFox.a.
Khi được cài đặt thành công vào máy tính của nạn nhân, RegistryFox sẽ liên tục tạo ra các thông tin cảnh báo sai lệch về tình trạng lỗi nghiêm trọng trong registry của hệ điều hành. Chỉ khi người dùng đồng ý mua key kích hoạt bản quyền, RegistryFox sẽ dừng thông báo và “khắc phục” những lỗi đó.
RegistryFox sẽ sao chép những file sau lên máy tính của nạn nhân:
C:\Config.Msi\4f7ea.rbs
%ProgramFiles%\RegistryFox
%ProgramFiles%\RegistryFox\RegistryFox.url
%ProgramFiles%\RegistryFox\RegistryFox.exe
%ProgramFiles%\RegistryFox\TCL.dll
%ProgramFiles%\RegistryFox\RegCleaner.dll
%ProgramFiles%\RegistryFox\DataBase.ref
%ProgramFiles%\RegistryFox\zlib.dll
%AllUsers%\Start Menu\Programs\RegistryFox
%AllUsers%\Start Menu\Programs\RegistryFox\RegistryFox.lnk
%AllUsers%\Desktop\RegistryFox.lnk
%AllUsers%\Start Menu\Programs\RegistryFox\RegistryFox on the Web.lnk
C:\WINDOWS\Installer\4f7eb.msi
và khóa registry chính sau:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Registry Fox
Một số hình ảnh của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__46.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__47.jpg
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__48.jpg
25. RegTool
Với cách thức hoạt động và lây lan tương tự ErrorFix, RegTool được chủ yếu phát tán qua trang web RegTOOL - Advanced System Cleaner & Update Tool (http://www.regtool.com), nhưng Kaspersky Lab không liệt chương trình giả mạo này thành FraudTool.Win32.RegTool.b.
Khi RegTool được cài đặt thành công, khi người dùng kích hoạt tính năng rà soát trong hệ thống registry, chương trình sẽ cảnh báo hệ thống với lỗi registry nghiêm trọng, đồng thời yêu cầu người dùng mua key kích hoạt bản quyền.
RegTool sẽ sao chép những file sau lên phân vùng hệ thống sau khi cài đặt:
regtool.exe
regtool5.dll
RegTool.lnk
và những khóa registry sau:
HKEY_CURRENT_USER\Software\RegTool
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run "RegTool"
Giao diện chính của chương trình:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__49.jpg
26. RST Antivirus 2010
RST Antivirus 2010 được Kaspersky Lab phát hiện và liệt kê vào danh sách biến thể của Trojan.Win32.FakeAV.pz, và phát tán rộng rãi qua trang web RTS Antivirus 2010 (http://rtsantivirus2010.com/). Khi xâm nhập thành công vào máy tính của nạn nhân, RST Antivirus 2010 sẽ liên tục tạo ra các thông báo lỗi về viruses, Trojans và worms tồn tại trên hệ thống, và RST Antivirus 2010 sẽ khắc phục triệt để những lỗi này khi người dùng đồng ý mua key kích hoạt bản quyền.
Sau khi cài đặt vào máy tính, RST Antivirus 2010 sẽ sao chép những file sau vào ổ cứng:
%ProgramFiles%\adc32.dll
%ProgramFiles%\alggui.exe
%ProgramFiles%\nuar.old
%ProgramFiles%\skynet.dat
%ProgramFiles%\svchost.exe
%ProgramFiles%\wp3.dat
%ProgramFiles%\wp4.dat
%ProgramFiles%\rst antivirus 2010\rst antivirus 2010.exe
%ProgramFiles%\rst antivirus 2010\comdlg32.dll
%ProgramFiles%\rst antivirus 2010\dwmapi.dll
%ProgramFiles%\rst antivirus 2010\libclamav.dll
%ProgramFiles%\rst antivirus 2010\oledlg.dll
%ProgramFiles%\rst antivirus 2010\pthreadvc2.dll
%ProgramFiles%\rst antivirus 2010\uninstall.bat
%ProgramFiles%\rst antivirus 2010\wininet.dll
%Programs%\RTS Antivirus 2010.lnk
%Desktop%\RTS Antivirus 2010.lnk
và những khóa registry sau:
HKCU\Software\RTS Antivirus 2010
HKCR\CLSID\{77DC0Baa-3235-4ba9-8BE8-aa9EB678FA02}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{77DC0Baa-3235-4ba9-8BE8-aa9EB678FA02}
HKLM\SYSTEM\CurrentControlSet\Services\AdbUpd
Giao diện chính của chương trình RST Antivirus 2010:
http://www.quantrimang.com.vn/photos/Image/072010/30/FakeRSS__50.jpg
(quantrimang.com.vn)