19. My Security Engine

My Security Engine với cơ chế tự tạo đường dẫn khởi động cùng hệ thống, và mỗi lần như vậy, chương trình sẽ tạo và sao chép rất nhiều dữ liệu rác vào nhiều thư mục khác nhau trên tất cả các phân vùng. Và mỗi lần khởi động và quét như vậy, số lượng file rác sẽ tăng lên ngày càng nhanh và nhiều. Để xóa bỏ những file này, chương trình yêu cầu người dùng mua bản quyền hoặc mã kích hoạt ứng dụng.

Những file được tạo ra và sao chép lên ổ cứng:

%AllUsersProfile%\Application Data\%random%\MSE.ico
%AllUsersProfile%\Application Data\%random%\MSf4c.exe
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\My Security Engine.lnk
%UserProfile%\Application Data\My Security Engine\cookies.sqlite
%UserProfile%\Application Data\My Security Engine\Instructions.ini
%UserProfile%\Desktop\My Security Engine.lnk
%UserProfile%\Recent\snl2w.dll
%UserProfile%\Recent\snl2w.drv
%UserProfile%\Recent\std.exe
%UserProfile%\Recent\std.tmp
%UserProfile%\Recent\cid.tmp
%UserProfile%\Recent\DBOLE.tmp
%UserProfile%\Recent\eb.dll
%UserProfile%\Recent\eb.tmp
%UserProfile%\Recent\energy.exe
%UserProfile%\Recent\exec.sys
%UserProfile%\Recent\fix.dll
%UserProfile%\Recent\fix.drv
%UserProfile%\Recent\FW.exe
%UserProfile%\Recent\pal.drv
%UserProfile%\Recent\PE.dll
%UserProfile%\Recent\runddlkey.sys
%UserProfile%\Start Menu\My Security Engine.lnk
%UserProfile%\Start Menu\Programs\My Security Engine.lnk

Đồng thời những khóa registry sau cũng được tạo ra:

Bảng khóa registry

Mặt khác, My Security Engine còn ngăn chặn truy cập tới 1 số trang web bằng cách thay đổi file hệ thống HOSTS. Những thông tin sau đã bị thay đổi trong file HOSTS:

127.0.0.1 localhost
74.125.45.100 4-open-davinci.com
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com
74.125.45.100 getantivirusplusnow.com
74.125.45.100 secure-plus-payments.com
74.125.45.100 www.getantivirusplusnow.com
74.125.45.100 www.secure-plus-payments.com
74.125.45.100 www.getavplusnow.com
74.125.45.100 safebrowsing-cache.google.com
74.125.45.100 urs.microsoft.com
74.125.45.100 www.securesoftwarebill.com
74.125.45.100 secure.paysecuresystem.com
74.125.45.100 paysoftbillsolution.com
74.125.45.100 protected.maxisoftwaremart.com
209.212.147.138 www.google.com
209.212.147.138 google.com
209.212.147.138 google.com.au
209.212.147.138 www.google.com.au
209.212.147.138 google.be
209.212.147.138 www.google.be
209.212.147.138 google.com.br
209.212.147.138 www.google.com.br
209.212.147.138 google.ca
209.212.147.138 www.google.ca
209.212.147.138 google.ch
209.212.147.138 www.google.ch
209.212.147.138 google.de
209.212.147.138 www.google.de
209.212.147.138 google.dk
209.212.147.138 www.google.dk
209.212.147.138 google.fr
209.212.147.138 www.google.fr
209.212.147.138 google.ie
209.212.147.138 www.google.ie
209.212.147.138 google.it
209.212.147.138 www.google.it
209.212.147.138 google.co.jp
209.212.147.138 www.google.co.jp
209.212.147.138 google.nl
209.212.147.138 www.google.nl
209.212.147.138 google.no
209.212.147.138 www.google.no
209.212.147.138 google.co.nz
209.212.147.138 www.google.co.nz
209.212.147.138 google.pl
209.212.147.138 www.google.pl
209.212.147.138 google.se
209.212.147.138 www.google.se
209.212.147.138 google.co.uk
209.212.147.138 www.google.co.uk
209.212.147.138 google.co.za
209.212.147.138 www.google.co.za
209.212.147.138 www.google-analytics.com
209.212.147.138 www.bing.com
209.212.147.138 search.yahoo.com
209.212.147.138 www.search.yahoo.com
209.212.147.138 uk.search.yahoo.com
209.212.147.138 ca.search.yahoo.com
209.212.147.138 de.search.yahoo.com
209.212.147.138 fr.search.yahoo.com
209.212.147.138 au.search.yahoo.com

Triệu chứng rất dễ nhận biết của hiện tượng này là người dùng không thể kết nối tới trang chủ www.kaspersky.com, và có liên quan tới các sản phẩm sau:

 - Kaspersky Anti-Virus 6.0\7.0\2009 (tất cả các phiên bản)
 - Kaspersky Internet Security 6.0\7.0\2009 (tất cả các phiên bản)
 - Kaspersky Anti-Virus 5.0 Personal (tất cả các phiên bản)
 - Kaspersky Anti-Virus 5.0 Personal Pro (tất cả các phiên bản)
 - Kaspersky Anti-Hacker 1.8
 - Kaspersky Anti-Virus 5.0\6.0 dành cho Windows Workstations (tất cả các phiên bản)
 - Kaspersky Anti-Virus 5.0\6.0 SOS

Để tạm thời khắc phục hiện tượng này, các bạn có thể áp dụng cách thủ công sau: tìm vị trí của file hệ thống HOSTS (với Windows-95/98/ME thì tại thư mục gốc cài đặt hệ thống, với Windows NT/2000/XP/Vista/7 thì tại thư mục System32/drivers/etc), mở file với bất kỳ chương trình soạn thảo nào (ví dụ NotePad, WordPad) dưới quyền Administrator, xóa tất cả các dòng địa chỉ ngoại trừ 127.0.0.1 localhost. Hoặc thay thế bằng file HOSTS được cung cấp bởi Kaspersky tại đây.

Giao diện chính của chương trình:

20. New Antivirus 2010

Khi thâm nhập và cài đặt thành công lên máy tính nạn nhân, New Antivirus 2010 sẽ liên tục đưa ra cảnh báo sai lầm về tình hình viruses, Trojans và worms phát hiện được trên hệ thống, đồng thời yêu cầu người dùng mua bản quyền hoặc key kích hoạt để sử dụng tất cả các chức năng và diệt toàn bộ virus được cảnh báo trên hệ thống.

Những file sau được New Antivirus 2010 sao chép lên ổ hệ thống:

%Documents and Settings%\All Users\Start Menu\Programs\New Antivirus 2010
%Documents and Settings%\All Users\Desktop\New Antivirus 2010.lnk
%Documents and Settings%\All Users\Application Data\Microsoft\Machine\WStech.dll

Và tiếp tục tạo ra những khóa registry sau:

HKEY_LOCAL_MACHINE\SOFTWARE\New Antivirus 2010
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "New Antivirus 2010"

Giao diện chính của chương trình:

21. PcSecureNet

PcSecureNet là 1 dạng biến thể mới của dòng Winiguard/Winisoft, được phát tán và lây lan rộng rãi qua địa chỉ www.pcsecurenet.com (đã không còn tồn tại), bên cạnh đó còn những biến thể đáng chú ý sau:

PcsSecure, APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.

Với cách thức lây lan khá phổ biến, PcSecureNet sẽ liên tục tạo ra số lượng file rỗng nhất định với nhiều tên gọi khác nhau sau khi cài đặt thành công vào máy tính của nạn nhân. Và khi người dùng tiến hành quét toàn bộ hệ thống, PcSecureNet sẽ phát hiện và cảnh báo những file đó là mã độc, và “dụ dỗ” người dùng mua bản quyền hoặc key kích hoạt.

Những file sau được tạo ra và sao chép trong quá trình cài đặt:

%ProgramFiles%\PcSecureNet Software\ApcSafe\PcSecureNet.exe
%ProgramFiles%\PcSecureNet Software\ApcSafe\main_config.xml
%ProgramFiles%\PcSecureNet Software\ApcSafe\uninstall.exe
%AllUsersProfile%\Desktop\PcSecureNet.lnk
%AllUsersProfile%\Start Menu\Programs\PcSecureNet\1 PcSecureNet.lnk
%AllUsersProfile%\Start Menu\Programs\PcSecureNet\2 Homepage.lnk
%AllUsersProfile%\Start Menu\Programs\PcSecureNet\3 Uninstall.lnk

và những khóa registry sau:

HKEY_LOCAL_MACHINE\software\PcSecureNet
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\PcSecureNet
HKEY_CURRENT_USER\software\PcSecureNet
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run, “PcSecureNet”
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, “PcSecureNet”

Một số hình ảnh chính của PcSecureNet:

22. PcsSecure

PcsSecure – cũng tương tự như PcSecureNet, là 1 dạng biến thể của Winiguard/Winisoft, được phát tán và lây truyền qua địa chỉ www.pcssecure.com (đã không còn tồn tại), bên cạnh đó còn khá nhiều biến thể tương đương như:

APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.

Sau khi xâm nhập và cài đặt thành công vào máy tính của nạn nhân, PcsSecure sẽ tự tạo ra 1 số lượng nhất định các file rỗng với các tên gọi khác nhau, mỗi khi quét, PcsSecure sẽ cảnh báo người dùng về những file này là mã độc hoặc virus, và chỉ chờ người dùng đồng ý mua bản quyền hoặc mã kích hoạt.

Khi cài đặt, PcsSecure sẽ tạo ra những file sau:

%ProgramFiles%\PcsSecure Software\PcsSecure\always_delete.xml
%ProgramFiles%\PcsSecure Software\PcsSecure\always_skip.xml
%ProgramFiles%\PcsSecure Software\PcsSecure\main_config.xml
%ProgramFiles%\PcsSecure Software\PcsSecure\PcsSecure.exe
%ProgramFiles%\PcsSecure Software\PcsSecure\uninstall.exe
%ProgramFiles%\PcsSecure Software\PcsSecure\quarantine\quarantine.xml
%AllUsersProfile%\Desktop\PcsSecure.lnk
%AllUsersProfile%\Start Menu\Programs\PcsSecure\1 PcsSecure.lnk
%AllUsersProfile%\Start Menu\Programs\PcsSecure\2 Homepage.lnk
%AllUsersProfile%\Start Menu\Programs\PcsSecure\3 Uninstall.lnk
%UserProfile%\Cookies\userdemo@pcssecure[1].txt

Và các khóa tương tự trong registry:

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\PcsSecure
HKEY_LOCAL_MACHINE\software\PcsSecure
HKEY_CURRENT_USER\software\PcsSecure
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run, “PcsSecure”
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run, “PcsSecure”

Một số hình ảnh của chương trình:

23. ProtectDefender

Được phát tán rộng rãi qua nguồn www.protectdefender.com (địa chỉ này đã không còn tồn tại), ProtectDefender cũng là 1 dạng biến thể của “gia đình” Winiguard/Winisoft phổ biến, bên cạnh đó có thể kể đến các “đồng nghiệp” sau:

APcSafe, APcSecure, ProtectSoldier, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.

Khi thâm nhập thành công vào máy tính của nạn nhân, ProtectDefender sẽ liên tục tạo ra số lượng nhất định những file rỗng trong thư mục hệ thống C:\Windows và C:\Windows\System32, và đương nhiên, khi khởi động hoặc quét toàn bộ hệ thống, ProtectDefender sẽ cảnh báo đã phát hiện rất nhiều mã độc trong máy tính, đồng thời yêu cầu người sử dụng mua bản quyền hoặc mã kích hoạt.

Những file sau được ProtectDefender tạo ra trong quá trình cài đặt:

%UserProfile%\Desktop\ProtectDefender.lnk
%UserProfile%\Start Menu\Programs\ProtectDefender.lnk
c:\Program Files\ProtectDefender Software
c:\Program Files\ProtectDefender Software\ProtectDefender
c:\Program Files\ProtectDefender Software\ProtectDefender\ProtectDefender.exe
c:\Program Files\ProtectDefender Software\ProtectDefender\Uninstall.exe
c:\WINDOWS59zwo5m236.ocx
c:\WINDOWS980haczt9ol3e5.bin
c:\WINDOWS\system3228downlo5dez11979.bin
c:\WINDOWS\system329zbackdoor1975.bin
c:\WINDOWS\system3299zir5s6ef.ocx

Và các khóa registry sau:

HKEY_CURRENT_USER\Software\ProtectDefender
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ProtectDefender
HKEY_LOCAL_MACHINE\SOFTWARE\ProtectDefender
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "ProtectDefender"

Giao diện chính của chương trình:

24. RegistryFox

Là 1 phần mềm an ninh giả mạo, khéo léo ngụy trang thành ứng dụng quét virus và rà soát hệ thống registry trong Windows. RegistryFox được phát tán rộng rãi qua trang web www.registryfox.com, nhưng lại được Kaspersky Lab phát hiện rằng không phải dòng virus FraudTool.Win32.RegistryFox.a.

Khi được cài đặt thành công vào máy tính của nạn nhân, RegistryFox sẽ liên tục tạo ra các thông tin cảnh báo sai lệch về tình trạng lỗi nghiêm trọng trong registry của hệ điều hành. Chỉ khi người dùng đồng ý mua key kích hoạt bản quyền, RegistryFox sẽ dừng thông báo và “khắc phục” những lỗi đó.

RegistryFox sẽ sao chép những file sau lên máy tính của nạn nhân:

C:\Config.Msi\4f7ea.rbs
%ProgramFiles%\RegistryFox
%ProgramFiles%\RegistryFox\RegistryFox.url
%ProgramFiles%\RegistryFox\RegistryFox.exe
%ProgramFiles%\RegistryFox\TCL.dll
%ProgramFiles%\RegistryFox\RegCleaner.dll
%ProgramFiles%\RegistryFox\DataBase.ref
%ProgramFiles%\RegistryFox\zlib.dll
%AllUsers%\Start Menu\Programs\RegistryFox
%AllUsers%\Start Menu\Programs\RegistryFox\RegistryFox.lnk
%AllUsers%\Desktop\RegistryFox.lnk
%AllUsers%\Start Menu\Programs\RegistryFox\RegistryFox on the Web.lnk
C:\WINDOWS\Installer\4f7eb.msi

và khóa registry chính sau:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Registry Fox

Một số hình ảnh của chương trình:

25. RegTool

Với cách thức hoạt động và lây lan tương tự ErrorFix, RegTool được chủ yếu phát tán qua trang web www.regtool.com, nhưng Kaspersky Lab không liệt chương trình giả mạo này thành FraudTool.Win32.RegTool.b.

Khi RegTool được cài đặt thành công, khi người dùng kích hoạt tính năng rà soát trong hệ thống registry, chương trình sẽ cảnh báo hệ thống với lỗi registry nghiêm trọng, đồng thời yêu cầu người dùng mua key kích hoạt bản quyền.

RegTool sẽ sao chép những file sau lên phân vùng hệ thống sau khi cài đặt:

regtool.exe
regtool5.dll
RegTool.lnk

và những khóa registry sau:

HKEY_CURRENT_USER\Software\RegTool
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "RegTool"

Giao diện chính của chương trình:

26. RST Antivirus 2010

RST Antivirus 2010 được Kaspersky Lab phát hiện và liệt kê vào danh sách biến thể của Trojan.Win32.FakeAV.pz, và phát tán rộng rãi qua trang web http://rtsantivirus2010.com/. Khi xâm nhập thành công vào máy tính của nạn nhân, RST Antivirus 2010 sẽ liên tục tạo ra các thông báo lỗi về viruses, Trojans và worms tồn tại trên hệ thống, và RST Antivirus 2010 sẽ khắc phục triệt để những lỗi này khi người dùng đồng ý mua key kích hoạt bản quyền.

Sau khi cài đặt vào máy tính, RST Antivirus 2010 sẽ sao chép những file sau vào ổ cứng:

%ProgramFiles%\adc32.dll
%ProgramFiles%\alggui.exe
%ProgramFiles%\nuar.old
%ProgramFiles%\skynet.dat
%ProgramFiles%\svchost.exe
%ProgramFiles%\wp3.dat
%ProgramFiles%\wp4.dat
%ProgramFiles%\rst antivirus 2010\rst antivirus 2010.exe
%ProgramFiles%\rst antivirus 2010\comdlg32.dll
%ProgramFiles%\rst antivirus 2010\dwmapi.dll
%ProgramFiles%\rst antivirus 2010\libclamav.dll
%ProgramFiles%\rst antivirus 2010\oledlg.dll
%ProgramFiles%\rst antivirus 2010\pthreadvc2.dll
%ProgramFiles%\rst antivirus 2010\uninstall.bat
%ProgramFiles%\rst antivirus 2010\wininet.dll
%Programs%\RTS Antivirus 2010.lnk
%Desktop%\RTS Antivirus 2010.lnk

và những khóa registry sau:

HKCU\Software\RTS Antivirus 2010
HKCR\CLSID\{77DC0Baa-3235-4ba9-8BE8-aa9EB678FA02}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{77DC0Baa-3235-4ba9-8BE8-aa9EB678FA02}
HKLM\SYSTEM\CurrentControlSet\Services\AdbUpd

Giao diện chính của chương trình RST Antivirus 2010:

(quantrimang.com.vn)