伴随着3Q大战,国内又掀起了一股杀毒软件免费热的狂潮:金山毒霸宣布终身免费;卡巴斯基免费一年;趋势2011免费一年……然而作为一般用户,杀软选择过多也不见得是件好事。商家们往往用来炒作自己厂商产品的噱头,类似主动防御或是安全套装等等,结果却只让一般用户更加迷茫。更有用户不走寻常路,选择一些比较冷门的杀软,以致免费不成,反被骗走了不少钱财。病毒也正好趁机而入,大打“假冒杀软”招牌。根据AVG病毒实验室的观测数据显示,自从08年首次发现“假冒杀毒软件”案例以来,“假冒杀毒软件”出现频率只增不减,而近期随着3Q大战余温未退,假冒杀软更是频频出现。就11月截止到目前来看,AVG病毒实验室已经截获到的用户受新型假冒杀软威胁的案例就已经高达545起。
作为全世界第一款自始自终主打免费杀毒的AVG,将利用本文机会,给广大用户普及、演示一下“假冒杀软”的特征,以供广大用户在选择杀软时参考,以免上“假冒杀软”的当。
AVG中国病毒实验室从近期收集到的“假冒杀软”(本文以后以FakeAV来代替)中选出更新频繁、迷惑程度高的5款,来给大家一一讲解示例。
第一款fakeav:AntiVirus Studio 2010(反病毒工作室2010)
这个所谓的Antivirus Studio 2010出自俄罗斯,图标很能迷惑人,模仿微软图标, 而且跟AVG的图标很接近。直接运行其后,出现以下界面:
不经用户点击后,直接开始扫描全盘,并且提示你扫描到很多不同类型的病毒。该杀软的扫描引擎做的“很好”,不到两分钟,扫描完毕,并提示找到288个病毒:
点击“Remove all threats now”(清除所有威胁)后,提示你输入key:
点击“Get License”(获得序列号)后,弹出自定义的浏览器窗口,让你购买相应的产品,并输入银行账户信息:
很显然,如果我们输入自己的银行账户密码信息,那你就得去看看自己账户上的钱是不是被扣光了。
本款fakeav界面华丽,目标明确:扫描到一堆病毒,然后提示用户购买才能清除。
第二款FakeAV:AntiSpySafeguard(反间谍安全卫士)
这款FakeAV假冒了微软的杀毒套装MSE,一般用户乍一看,还真以为是MSE:
运行该病毒后,便弹出伪造的MSE窗口,并提示发现威胁,目标位于:c:\windows\system32\cmd.exe,点击Clean computer或者Apply actions后,会“一本正经”地尝试清除:
但是最后会提示“Unable to remove threat”(无法清除),然后建议你“Scan Online”(在线扫描):
点击在线扫描后,会出现各大杀软的图标,看上去应该是会让各大杀软都来扫描一次(笔者案:其实都没有扫描,进度条是虚假的):
点击“Start scan”后,所有杀软开始扫描。扫描结束后,只有五款杀软检测到病毒,然后会提示你安装这五款杀软(笔者案:其实这无款杀软是病毒虚构的,而且这五款杀软背后指向的其实是同一款,即病毒自身。病毒只是模拟了用户的习惯性行为过程)
我们点击“Free Install”(免费安装)后,病毒又模拟了“下载”“安装”的过程(实则只是个节目,并未做实质的下载、安装行为):
下载:
安装:
安装成功后,病毒会修改windows的启动界面(login.scr),将其替换为病毒自身,以伪造成“windows加载前就扫描(boot scan)”的假象。然后病毒会不经用户提示,自动重启电脑(笔者按:这也是fakeav的一个明显特征):
伪造的boot scan界面(其实此时windows已经全部加载完毕,正因为login.scr被替换,所以才出现类似boot scan的界面):
点击扫描后,提示扫描到很多病毒(居然都是系统文件):
扫描完毕后,提示“安装启发模块”才能清除病毒:
点击“Install heuristic module”后,将弹出购买网页,欺骗用户输入银行账号信息。
纵观这个AntiSpySafeguard,其模拟了从“发现病毒”->“在线扫描”->“下载”->“安装”->“Boot scan”->“购买激活”等一个“完整流程”的流程,以欺骗、引导用户“购买”,可见该fakeav的作者花了不少心思。但是细看每个步骤,还是可以发现一些破绽,比如只有那五款杀软能检测到病毒、未经用户允许就重启计算机、重启后检测的全是系统文件等等。有经验的用户还是能识破的。
本文来源:华军资讯 作者:佚名