Cẩn thận phần mềm antivirus giả mạo

Theo đà phát triển của công nghệ hiện nay, virus máy tình trở nên muôn hình muôn dạng. Có rất nhiều chủng loại khác nhau, và tất nhiên tác hại của nó gây ra cũng là khác nhau.

Do đó nhu cầu sử dụng antivirus trở nên cần thiết. Tuy nhiên, hiện nay có một số phần mềm antivirus giả mạo được tung ra thị trường, nhằm trục lợi, hay chiếm đoạt máy của victim.
Bài viết hôm nay, nhằm giúp các bạn biết rõ hơn và phòng tránh phần mềm antivirus giả mạo một cách hiệu quả.

Biểu hiện chung của các phần mềm này:

1- Tự động liên kết với một số trang web bằng trình duyệt mặc định của bạn

download-xxxx
microsoft-browserxxxx
mybestantivirus-xxxx
av2010.xxxx
av2010xxxx

2- Hiện thị cửa sổ quét virus có các tiến trình như win32.monster.fx( Antivirus 2010 là 1 ví dụ điển hình).
3- Khi thực hiện scan virut bằng antivirus giả mạo nó sẽ báo một số mã độc như

• BAT.Looper
• Packed.Win32.PolyCrypt
• SpamTool.Win32.Delf.h
• Trojan-IM.Win32.Faker.a
• Trojan-PSW.BAT.Cunter
• Trojan-PSW.VBS.Half
• Trojan-PSW.Win32.Antigen.a
• Trojan-PSW.Win32.Delf.d
• Trojan-PSW.Win32.Dripper
• Trojan-PSW.Win32.Fantast
• Trojan-PSW.Win32.Hooker
• Trojan-SMS.J2ME.RedBrowser.a
• Trojan-Spy.HTML.Bankfraud.ix
• Trojan-Spy.HTML.Bankfraud.ra
• Trojan-Spy.HTML.Bayfraud.hn
• Trojan-Spy.HTML.Citifraud
• Trojan-Spy.HTML.Paypal.hn
• Trojan-Spy.HTML.Sunfraud.a
• Trojan-Spy.Win32.WMPatch
• Trojan.BAT.AnitV.a
• Virus.BAT.Gray.705
• Virus.BAT.IBBM.ClsV
• Virus.Win32.Faker.a

Sau đó sẽ bắt victim bỏ tiền ra mua key bản quyền.


Khi scan nó còn tạo ra một số file như:

• C:Documents and SettingsAll UsersApplication DataSystem Datavd952342.bd
• C:Documents and SettingsAll UsersApplication DataSystem Datamscfg.ini

Tiếp theo,nó thêm khoá sau vào registry để đảm bảo mình đc chạy mỗi khi Windows khởi động:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun"Virus Melt" = "[đường đẫn tới file thực thi] /s"

Rồi nó tạo thêm các khoá:

• HKEY_CLASSES_ROOTCLSID{3F2BBC05-40DF-11D2-9455-00104BC936FF}
• HKEY_CLASSES_ROOT[tên file thực thi].DocHostUIHandler

Tạo thêm các khoá khác vào registry:

• HKEY_CLASSES_ROOTCLSID{3F2BBC05-40DF-11D2-9455-00104BC936FF}LocalServer32"Default" = "[PATH TO EXECUTABLE]"
• HKEY_CLASSES_ROOTCLSID{3F2BBC05-40DF-11D2-9455-00104BC936FF}ProgID"Default" = "[EXECUTABLE FILE NAME].DocHostUIHandler"
• HKEY_CLASSES_ROOT[EXECUTABLE FILE NAME].DocHostUIHandler"Default" = "Implements DocHostUIHandler"
• HKEY_CLASSES_ROOT[EXECUTABLE FILE NAME].DocHostUIHandlerClsid"Default" = "{3F2BBC05-40DF-11D2-9455-00104BC936FF}"
• HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDownload"CheckExeSignatures" = "no"
• HKEY_SoftwareMicrosoftInternet ExplorerDownload"RunInvalidSignatures" = "1"

Tùy theo phần mềm giả mạo khác nhau thì biểu hiện có khác nhay nhưng nhìn chung thì đều dựa trên nguyên tắc này.

Cách khắc phục:
- Không download những phần mềm antivirus không rõ nguồn gốc xuất xứ.
- Chỉ down antivirus tại chính trang chủ, và sử dụng một số phần mềm uy tín như: AVG, kaspersky, Avast....

Danh sách các phần mềm giả mạo để mọi người có thể lưu ý và tránh download nhầm.