Sidebar Sidebar

Một số antivirus giả mạo

Mr LNA

Mr LNA

Administrator
1 Tháng mười một 2010
49,065
12
38
Thủ đoạn của bọn này vẫn khá quen thuộc thôi(Báo cáo giả là đã phát hiện malware->Yêu cầu nạn nhân phải đăng kí bản quyền phần mềm) nhưng đưa ra để mọi người tham khảo
1.VirusMelt:
-Nó hiển thị cảnh báo giả là đã phát hiện các mã độc:

[URL="http://forum.kaspersky.com.vn/highslide/graphics/warning.gif"][URL="http://forum.kaspersky.com.vn/highslide/graphics/warning.gif"]
[/URL]


[/URL][URL="http://www.symantec.com/content/en/us/global/images/threat_writeups/2009-031117-4351-99.1.jpg"][/URL]

Chương trình báo cáo sai các mã độc trên máy tính nạn nhân:

[URL="http://forum.kaspersky.com.vn/highslide/graphics/warning.gif"][URL="http://forum.kaspersky.com.vn/highslide/graphics/warning.gif"]
[/URL]


[/URL][URL="http://www.symantec.com/content/en/us/global/images/threat_writeups/2009-031117-4351-99.2.jpg"][/URL]

Các mã độc mà nó báo đã phát hiện là:


  • BAT.Looper
  • Packed.Win32.PolyCrypt
  • SpamTool.Win32.Delf.h
  • Trojan-IM.Win32.Faker.a
  • Trojan-PSW.BAT.Cunter
  • Trojan-PSW.VBS.Half
  • Trojan-PSW.Win32.Antigen.a
  • Trojan-PSW.Win32.Delf.d
  • Trojan-PSW.Win32.Dripper
  • Trojan-PSW.Win32.Fantast
  • Trojan-PSW.Win32.Hooker
  • Trojan-SMS.J2ME.RedBrowser.a
  • Trojan-Spy.HTML.Bankfraud.ix
  • Trojan-Spy.HTML.Bankfraud.ra
  • Trojan-Spy.HTML.Bayfraud.hn
  • Trojan-Spy.HTML.Citifraud
  • Trojan-Spy.HTML.Paypal.hn
  • Trojan-Spy.HTML.Sunfraud.a
  • Trojan-Spy.Win32.WMPatch
  • Trojan.BAT.AnitV.a
  • Virus.BAT.Gray.705
  • Virus.BAT.IBBM.ClsV
  • Virus.Win32.Faker.a


[URL="http://forum.kaspersky.com.vn/highslide/graphics/warning.gif"][URL="http://forum.kaspersky.com.vn/highslide/graphics/warning.gif"]
[/URL]


[/URL][URL="http://www.symantec.com/content/en/us/global/images/threat_writeups/2009-031117-4351-99.3.jpg"][/URL]


Bắt nạn nhân phải thanh toán để có key bản quyền phần mềm:


[URL="http://forum.kaspersky.com.vn/highslide/graphics/warning.gif"][URL="http://forum.kaspersky.com.vn/highslide/graphics/warning.gif"]
[/URL]


[/URL][URL="http://www.symantec.com/content/en/us/global/images/threat_writeups/2009-031117-4351-99.4.jpg"][/URL]


Nó cũng kết nối đến địa chỉ sau và có thể tải về một số file khác:
[http://]updvms.cn:9666/Instruct[REMOVED]



Khi đc thực thi,nó sẽ tạo một số file sau:


  • C:\Documents and Settings\All Users\Application Data\System Data\vd952342.bd
  • C:\Documents and Settings\All Users\Application Data\System Data\mscfg.ini


Tiếp theo,nó thêm khoá sau vào registry để đảm bảo mình đc chạy mỗi khi Windows khởi động:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Virus Melt" = "[đường đẫn tới file thực thi] /s"

Rồi nó tạo thêm các khoá:


  • HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}
  • HKEY_CLASSES_ROOT\[tên file thực thi].DocHostUIHandler


Tạo thêm các khoá khác vào registry:


  • HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\LocalServer32\"Default" = "[PATH TO EXECUTABLE]"
  • HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\ProgID\"Default" = "[EXECUTABLE FILE NAME].DocHostUIHandler"
  • HKEY_CLASSES_ROOT\[EXECUTABLE FILE NAME].DocHostUIHandler\"Default" = "Implements DocHostUIHandler"
  • HKEY_CLASSES_ROOT\[EXECUTABLE FILE NAME].DocHostUIHandler\Clsid\"Default" = "{3F2BBC05-40DF-11D2-9455-00104BC936FF}"
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\"CheckExeSignatures" = "no"
  • HKEY_\Software\Microsoft\Internet Explorer\Download\"RunInvalidSignatures" = "1"

2.SystemGuard2009
Báo cáo giả các phần mềm độc hại trên máy tính nạn nhân:


[URL="http://forum.kaspersky.com.vn/highslide/graphics/warning.gif"][URL="http://forum.kaspersky.com.vn/highslide/graphics/warning.gif"]
[/URL]


[/URL][URL="http://www.symantec.com/content/en/us/global/images/threat_writeups/2009-031311-4206-99.1.JPG"][/URL]


Vẫn là chiêu bắt người dùng phải có key bản quyền đăng kí để loại bỏ các phần mềm độc hại:

[URL="http://www.symantec.com/content/en/us/global/images/threat_writeups/2009-031311-4206-99.2.JPG"][/URL]


Khi chạy nó tạo ra các file sau:


  • %CurrentFolder%\conf.cfg
  • %CurrentFolder%\mbase.vdb
  • %CurrentFolder%\quarantine.vdb
  • %CurrentFolder%\queue.vdb
  • %CurrentFolder%\vbase.vdb



Nó cũng tạo thêm thư mục:
%CurrentFolder%\quarantine

Tiếp theo nó đăng kí khoá sau để để đc chạy mỗi khi Windows khởi động:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"systemguard" = "[đường dẫn tới file thực thi]"

Tổng hợp bởi Anhnd





Nguồn: shoptinhoc.com
 
Bài tương tự bạn quan tâm
  • Microsoft Security Essentials 4.2.223.0 - Phần mềm...
  • TNOD 1.4.1 - Phần mềm tìm key ESet mọi phiên bản...
  • TNOD 1.4.1 - Phần mềm tìm key ESet mọi phiên bản...
  • Dr.WEB CureIt V6.00.9 - Một công cụ chống virus và...
  • Tổng hợp hướng dẫn update offline cho một số trình...
  • Một số trang web lấy key Kis/Kav miễn phí cho các bạn!
    • Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.

    News

    New Jobs

    Thống kê diễn đàn

    Chủ đề
    61,257
    Bài viết
    63,476
    Thành viên
    86,530
    Thành viên mới nhất
    lixi88email

    Chia sẻ trang này

    Share this page

    VỀ CHÚNG TÔI

    • Sinhvienthamdinh.Com là diễn đàn đầu tiên và lớn nhất dành riêng cho cộng đồng nhân lực ngành thẩm định giá. Cổng thông tin được tạo ra nhằm tạo kênh kết nối tri thức cho tất cả các bạn đã và đang quan tâm đến ngành thẩm định giá. Các thông tin được tổng hợp với đầy đủ các mảng thuộc lĩnh vực thẩm định giá như: Thẩm định giá Bất động sản, thẩm định giá động sản, thẩm định giá máy móc thiết bị, thẩm định giá doanh nghiệp, thẩm định giá dự án đầu tư, thẩm định giá thương hiệu...
    • Với phương châm "Connet For Sharing" chúng tôi chia sẻ hoàn toàn miễn phí và không giới hạn những kiến thức từ cộng đồng diễn đàn.

    DANH MỤC CHÍNH

    Diễn đàn Liên hệ

    CÁ NHÂN

    login
    Forum software by XenForo® © 2010-2020 XenForo Ltd. | Style and add-ons by ThemeHouse
    Bên trên Bottom