p> 第二款FakeAV:AntiSpySafeguard(反间谍安全卫士)
这款FakeAV假冒了微软的杀毒套装MSE,一般用户乍一看,还真以为是MSE:
运行该病毒后,便弹出伪造的MSE窗口,并提示发现威胁,目标位于:c:windowssystem32cmd.exe,点击Clean computer或者Apply actions后,会“一本正经”地尝试清除:
但是最后会提示“Unable to remove threat”(无法清除),然后建议你“Scan Online”(在线扫描):
点击在线扫描后,会出现各大杀软的图标,看上去应该是会让各大杀软都来扫描一次(笔者案:其实都没有扫描,进度条是虚假的):
点击“Start scan”后,所有杀软开始扫描。扫描结束后,只有五款杀软检测到病毒,然后会提示你安装这五款杀软(笔者案:其实这无款杀软是病毒虚构的,而且这五款杀软背后指向的其实是同一款,即病毒自身。病毒只是模拟了用户的习惯性行为过程)
我们点击“Free Install”(免费安装)后,病毒又模拟了“下载”“安装”的过程(实则只是个节目,并未做实质的下载、安装行为):
下载:
安装:
安装成功后,病毒会修改windows的启动界面(login.scr),将其替换为病毒自身,以伪造成“windows加载前就扫描(boot scan)”的假象。然后病毒会不经用户提示,自动重启电脑(笔者按:这也是fakeav的一个明显特征):
伪造的boot scan界面(其实此时windows已经全部加载完毕,正因为login.scr被替换,所以才出现类似boot scan的界面):
点击扫描后,提示扫描到很多病毒(居然都是系统文件):
扫描完毕后,提示“安装启发模块”才能清除病毒:
点击“Install heuristic module”后,将弹出购买网页,欺骗用户输入银行账号信息。
纵观这个AntiSpySafeguard,其模拟了从“发现病毒”->“在线扫描”->“下载”->“安装”->“Boot scan”->“购买激活”等一个“完整流程”的流程,以欺骗、引导用户“购买”,可见该fakeav的作者花了不少心思。但是细看每个步骤,还是可以发现一些破绽,比如只有那五款杀软能检测到病毒、未经用户允许就重启计算机、重启后检测的全是系统文件等等。有经验的用户还是能识破的。
本文来源:天空软件 作者:佚名