10/05/2018, 23:15
Cẩn thận phần mềm antivirus giả mạo
Theo đà phát triển của công nghệ hiện nay, virus máy tình trở nên muôn hình muôn dạng. Có rất nhiều chủng loại khác nhau, và tất nhiên tác hại của nó gây ra cũng là khác nhau. Do đó nhu cầu sử dụng antivirus trở nên cần thiết. Tuy nhiên, hiện nay có một số phần mềm antivirus giả mạo được ...
Theo đà phát triển của công nghệ hiện nay, virus máy tình trở nên muôn hình muôn dạng. Có rất nhiều chủng loại khác nhau, và tất nhiên tác hại của nó gây ra cũng là khác nhau.
Do đó nhu cầu sử dụng antivirus trở nên cần thiết. Tuy nhiên, hiện nay có một số phần mềm antivirus giả mạo được tung ra thị trường, nhằm trục lợi, hay chiếm đoạt máy của victim.
Bài viết hôm nay, nhằm giúp các bạn biết rõ hơn và phòng tránh phần mềm antivirus giả mạo một cách hiệu quả.
Biểu hiện chung của các phần mềm này:
1- Tự động liên kết với một số trang web bằng trình duyệt mặc định của bạn
download-xxxx
microsoft-browserxxxx
mybestantivirus-xxxx
av2010.xxxx
av2010xxxx
2- Hiện thị cửa sổ quét virus có các tiến trình như win32.monster.fx( Antivirus 2010 là 1 ví dụ điển hình).
3- Khi thực hiện scan virut bằng antivirus giả mạo nó sẽ báo một số mã độc như
Khi scan nó còn tạo ra một số file như:
Tiếp theo,nó thêm khoá sau vào registry để đảm bảo mình đc chạy mỗi khi Windows khởi động:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun"Virus Melt" = "[đường đẫn tới file thực thi] /s"
Rồi nó tạo thêm các khoá:
Cách khắc phục:
- Không download những phần mềm antivirus không rõ nguồn gốc xuất xứ.
- Chỉ down antivirus tại chính trang chủ, và sử dụng một số phần mềm uy tín như: AVG, kaspersky, Avast....
Danh sách các phần mềm giả mạo để mọi người có thể lưu ý và tránh download nhầm.
Do đó nhu cầu sử dụng antivirus trở nên cần thiết. Tuy nhiên, hiện nay có một số phần mềm antivirus giả mạo được tung ra thị trường, nhằm trục lợi, hay chiếm đoạt máy của victim.
Bài viết hôm nay, nhằm giúp các bạn biết rõ hơn và phòng tránh phần mềm antivirus giả mạo một cách hiệu quả.
Biểu hiện chung của các phần mềm này:
1- Tự động liên kết với một số trang web bằng trình duyệt mặc định của bạn
download-xxxx
microsoft-browserxxxx
mybestantivirus-xxxx
av2010.xxxx
av2010xxxx
2- Hiện thị cửa sổ quét virus có các tiến trình như win32.monster.fx( Antivirus 2010 là 1 ví dụ điển hình).
3- Khi thực hiện scan virut bằng antivirus giả mạo nó sẽ báo một số mã độc như
- BAT.Looper
- Packed.Win32.PolyCrypt
- SpamTool.Win32.Delf.h
- Trojan-IM.Win32.Faker.a
- Trojan-PSW.BAT.Cunter
- Trojan-PSW.VBS.Half
- Trojan-PSW.Win32.Antigen.a
- Trojan-PSW.Win32.Delf.d
- Trojan-PSW.Win32.Dripper
- Trojan-PSW.Win32.Fantast
- Trojan-PSW.Win32.Hooker
- Trojan-SMS.J2ME.RedBrowser.a
- Trojan-Spy.HTML.Bankfraud.ix
- Trojan-Spy.HTML.Bankfraud.ra
- Trojan-Spy.HTML.Bayfraud.hn
- Trojan-Spy.HTML.Citifraud
- Trojan-Spy.HTML.Paypal.hn
- Trojan-Spy.HTML.Sunfraud.a
- Trojan-Spy.Win32.WMPatch
- Trojan.BAT.AnitV.a
- Virus.BAT.Gray.705
- Virus.BAT.IBBM.ClsV
- Virus.Win32.Faker.a
Khi scan nó còn tạo ra một số file như:
- C:Documents and SettingsAll UsersApplication DataSystem Datavd952342.bd
- C:Documents and SettingsAll UsersApplication DataSystem Datamscfg.ini
Tiếp theo,nó thêm khoá sau vào registry để đảm bảo mình đc chạy mỗi khi Windows khởi động:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun"Virus Melt" = "[đường đẫn tới file thực thi] /s"
Rồi nó tạo thêm các khoá:
- HKEY_CLASSES_ROOTCLSID{3F2BBC05-40DF-11D2-9455-00104BC936FF}
- HKEY_CLASSES_ROOT[tên file thực thi].DocHostUIHandler
- HKEY_CLASSES_ROOTCLSID{3F2BBC05-40DF-11D2-9455-00104BC936FF}LocalServer32"Default" = "[PATH TO EXECUTABLE]"
- HKEY_CLASSES_ROOTCLSID{3F2BBC05-40DF-11D2-9455-00104BC936FF}ProgID"Default" = "[EXECUTABLE FILE NAME].DocHostUIHandler"
- HKEY_CLASSES_ROOT[EXECUTABLE FILE NAME].DocHostUIHandler"Default" = "Implements DocHostUIHandler"
- HKEY_CLASSES_ROOT[EXECUTABLE FILE NAME].DocHostUIHandlerClsid"Default" = "{3F2BBC05-40DF-11D2-9455-00104BC936FF}"
- HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDownload"CheckExeSignatures" = "no"
- HKEY_SoftwareMicrosoftInternet ExplorerDownload"RunInvalidSignatures" = "1"
Cách khắc phục:
- Không download những phần mềm antivirus không rõ nguồn gốc xuất xứ.
- Chỉ down antivirus tại chính trang chủ, và sử dụng một số phần mềm uy tín như: AVG, kaspersky, Avast....
Danh sách các phần mềm giả mạo để mọi người có thể lưu ý và tránh download nhầm.
Mã:
- 1. Win32/FakeXPA – Tên gọi