提防“李鬼”式木马
现在竟然有可以伪装成反病毒软件的病毒!
冠群金辰全球反病毒监测网近日查获一个新出现的木马病毒Win32/FakeAV.AET,这种新出现的病毒不仅能够感染计算机系统,下载其它恶意软件,最可恨的是它还能够伪装成合法的反病毒软件,自动扫描系统,弹出虚假安全警告信息,伪造虚假扫描结果,并进而转向某个伪造的反病毒安全软件购买页面,要求用户购买该实际上是病毒的“反病毒软件”!
根据冠群金辰KILL反病毒专家介绍,这种木马病毒又叫Trojan:Win32/Tibs.IT(MS OneCare),它所伪装成的反病毒软件通常自称为“间谍软件保护2009 ”。它的感染方式为在运行时,Win32/FakeAV.AET在%Windows%目录中生成"Sysguard.exe"文件,然后创建以下注册表键值,使自己在系统启动时能运行:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunsystem tool=
"%Windows%sysguard.exe"
同时,它也会在%system%目录中生成 “iehelper.dll” 恶意DLL文件,然后通过添加注册键值,注册为浏览器帮助程序对象(BHO)。它还为其进程创建以下注册表键值:
HKCUSoftwareAvScan
HKCUSoftwareAvScanid = "5.1"(其中的“5.1”可能是该流氓软件的版本号。)
这之后,假冒反病毒软件的“李鬼”就开始在受感染的电脑里活动了。
该“李鬼”反病毒软件的具体活动形式包括:
1.显示虚假威胁信息
Win32/FakeAV.AET 在任务栏中显示以下气球:
2.假装扫描系统,虚报感染信息
只要点击气球就会显示流氓软件“间谍软件保护2009”。它会假装扫描系统的恶意软件和虚假报告,并进而发现许多感染。
3.要求购买虚假反病毒软件
扫描后,它会建议消除假冒感染。只要受感染用户选择“是的,删除威胁”,它就会把用户浏览器重定向到URL spy-protect-2009.com/purchase?r=5.1,该地址显示一些虚假的安全软件购买信息,要求用户购买该“李鬼”反病毒软件的升级版:
这种新的木马病毒除了上面所提到伪装成反病毒软件的“李鬼”本事之外,还有其他的危害,比如会重新定向搜索引擎、下载其他恶意软件下载更多恶意软件、修改Hosts文件等。
KILL反病毒专家提醒广大网民,尽管这种会伪装成反病毒软件的“李鬼”式木马病毒刚刚被发现,目前还不知道会否造成大范围影响,但是鉴于其特殊性,经常使用电脑和上网的大家要注意,记住这种病毒的伪装特征,不要被“李鬼”给忽悠了。
