天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

AVG为您揭开“假冒杀软”神秘面纱

2010-11-24天空软件佚名

p>  第二款FakeAV:AntiSpySafeguard(反间谍安全卫士)

  

  这款FakeAV假冒了微软的杀毒套装MSE,一般用户乍一看,还真以为是MSE:

  

  运行该病毒后,便弹出伪造的MSE窗口,并提示发现威胁,目标位于:c:windowssystem32cmd.exe,点击Clean computer或者Apply actions后,会“一本正经”地尝试清除:

  

  但是最后会提示“Unable to remove threat”(无法清除),然后建议你“Scan Online”(在线扫描):

  

  点击在线扫描后,会出现各大杀软的图标,看上去应该是会让各大杀软都来扫描一次(笔者案:其实都没有扫描,进度条是虚假的):

  

  点击“Start scan”后,所有杀软开始扫描。扫描结束后,只有五款杀软检测到病毒,然后会提示你安装这五款杀软(笔者案:其实这无款杀软是病毒虚构的,而且这五款杀软背后指向的其实是同一款,即病毒自身。病毒只是模拟了用户的习惯性行为过程)

  

  我们点击“Free Install”(免费安装)后,病毒又模拟了“下载”“安装”的过程(实则只是个节目,并未做实质的下载、安装行为):

  下载:

  

  安装:

  

  

  安装成功后,病毒会修改windows的启动界面(login.scr),将其替换为病毒自身,以伪造成“windows加载前就扫描(boot scan)”的假象。然后病毒会不经用户提示,自动重启电脑(笔者按:这也是fakeav的一个明显特征):

  伪造的boot scan界面(其实此时windows已经全部加载完毕,正因为login.scr被替换,所以才出现类似boot scan的界面):

  

  点击扫描后,提示扫描到很多病毒(居然都是系统文件):

  

  扫描完毕后,提示“安装启发模块”才能清除病毒:

  

  点击“Install heuristic module”后,将弹出购买网页,欺骗用户输入银行账号信息。

  纵观这个AntiSpySafeguard,其模拟了从“发现病毒”->“在线扫描”->“下载”->“安装”->“Boot scan”->“购买激活”等一个“完整流程”的流程,以欺骗、引导用户“购买”,可见该fakeav的作者花了不少心思。但是细看每个步骤,还是可以发现一些破绽,比如只有那五款杀软能检测到病毒、未经用户允许就重启计算机、重启后检测的全是系统文件等等。有经验的用户还是能识破的。

本文来源:天空软件 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行