PDA

View Full Version : Một số antivirus giả mạo

Good student
09-15-2009, 07:22 PM
Thủ đoạn của bọn này vẫn khá quen thuộc thôi(Báo cáo giả là đă phát hiện malware->Yêu cầu nạn nhân phải đăng kí bản quyền phần mềm) nhưng đưa ra để mọi người tham khảo
1.VirusMelt:
-Nó hiển thị cảnh báo giả là đă phát hiện các mă độc:

[Only registered and activated users can see links]


Chương tŕnh báo cáo sai các mă độc trên máy tính nạn nhân:


[Only registered and activated users can see links]

Các mă độc mà nó báo đă phát hiện là:

BAT.Looper
Packed.Win32.PolyCrypt
SpamTool.Win32.Delf.h
Trojan-IM.Win32.Faker.a
Trojan-PSW.BAT.Cunter
Trojan-PSW.VBS.Half
Trojan-PSW.Win32.Antigen.a
Trojan-PSW.Win32.Delf.d
Trojan-PSW.Win32.Dripper
Trojan-PSW.Win32.Fantast
Trojan-PSW.Win32.Hooker
Trojan-SMS.J2ME.RedBrowser.a
Trojan-Spy.HTML.Bankfraud.ix
Trojan-Spy.HTML.Bankfraud.ra
Trojan-Spy.HTML.Bayfraud.hn
Trojan-Spy.HTML.Citifraud
Trojan-Spy.HTML.Paypal.hn
Trojan-Spy.HTML.Sunfraud.a
Trojan-Spy.Win32.WMPatch
Trojan.BAT.AnitV.a
Virus.BAT.Gray.705
Virus.BAT.IBBM.ClsV
Virus.Win32.Faker.a


[Only registered and activated users can see links]


Bắt nạn nhân phải thanh toán để có key bản quyền phần mềm:


[Only registered and activated users can see links]



Nó cũng kết nối đến địa chỉ sau và có thể tải về một số file khác:
[[Only registered and activated users can see links]]updvms.cn:9666/Instruct[REMOVED]



Khi đc thực thi,nó sẽ tạo một số file sau:

C:\Documents and Settings\All Users\Application Data\System Data\vd952342.bd
C:\Documents and Settings\All Users\Application Data\System Data\mscfg.ini

Tiếp theo,nó thêm khoá sau vào registry để đảm bảo ḿnh đc chạy mỗi khi Windows khởi động:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Virus Melt" = "[đường đẫn tới file thực thi] /s"

Rồi nó tạo thêm các khoá:

HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}
HKEY_CLASSES_ROOT\[tên file thực thi].DocHostUIHandler

Tạo thêm các khoá khác vào registry:

HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\LocalServer32\"Default" = "[PATH TO EXECUTABLE]"
HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\ProgID\"Default" = "[EXECUTABLE FILE NAME].DocHostUIHandler"
HKEY_CLASSES_ROOT\[EXECUTABLE FILE NAME].DocHostUIHandler\"Default" = "Implements DocHostUIHandler"
HKEY_CLASSES_ROOT\[EXECUTABLE FILE NAME].DocHostUIHandler\Clsid\"Default" = "{3F2BBC05-40DF-11D2-9455-00104BC936FF}"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\"CheckExeSignatures" = "no"
HKEY_\Software\Microsoft\Internet Explorer\Download\"RunInvalidSignatures" = "1"
2.SystemGuard2009
Báo cáo giả các phần mềm độc hại trên máy tính nạn nhân:




[Only registered and activated users can see links]

Vẫn là chiêu bắt người dùng phải có key bản quyền đăng kí để loại bỏ các phần mềm độc hại:

[Only registered and activated users can see links]


Khi chạy nó tạo ra các file sau:

%CurrentFolder%\conf.cfg
%CurrentFolder%\mbase.vdb
%CurrentFolder%\quarantine.vdb
%CurrentFolder%\queue.vdb
%CurrentFolder%\vbase.vdb


Nó cũng tạo thêm thư mục:
%CurrentFolder%\quarantine

Tiếp theo nó đăng kí khoá sau để để đc chạy mỗi khi Windows khởi động:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"systemguard" = "[đường dẫn tới file thực thi]"

Theo Symantec