冠群金辰KILL发现可伪装成反病毒软件的新型病毒

ZDNet软件频道 时间:2009-04-10 作者:CNET科技资讯网 |  我要评论()
本文关键词:木马病毒 KILL 冠群金辰
冠群金辰全球反病毒监测网近日查获一个新出现的木马病毒Win32/FakeAV.AET,这种新出现的病毒不仅能够感染计算机系统,下载其它恶意软件,最可恨的是它还能够伪装成合法的反病毒软件

提防“李鬼”式木马

现在竟然有可以伪装成反病毒软件的病毒!

冠群金辰全球反病毒监测网近日查获一个新出现的木马病毒Win32/FakeAV.AET,这种新出现的病毒不仅能够感染计算机系统,下载其它恶意软件,最可恨的是它还能够伪装成合法的反病毒软件,自动扫描系统,弹出虚假安全警告信息,伪造虚假扫描结果,并进而转向某个伪造的反病毒安全软件购买页面,要求用户购买该实际上是病毒的“反病毒软件”!

根据冠群金辰KILL反病毒专家介绍,这种木马病毒又叫Trojan:Win32/Tibs.IT(MS OneCare),它所伪装成的反病毒软件通常自称为“间谍软件保护2009 ”。它的感染方式为在运行时,Win32/FakeAV.AET在%Windows%目录中生成"Sysguard.exe"文件,然后创建以下注册表键值,使自己在系统启动时能运行:

HKCUSoftwareMicrosoftWindowsCurrentVersionRunsystem tool=
"%Windows%sysguard.exe"

同时,它也会在%system%目录中生成 “iehelper.dll” 恶意DLL文件,然后通过添加注册键值,注册为浏览器帮助程序对象(BHO)。它还为其进程创建以下注册表键值:

HKCUSoftwareAvScan
HKCUSoftwareAvScanid = "5.1"(其中的“5.1”可能是该流氓软件的版本号。)

这之后,假冒反病毒软件的“李鬼”就开始在受感染的电脑里活动了。

该“李鬼”反病毒软件的具体活动形式包括:

1.显示虚假威胁信息

Win32/FakeAV.AET 在任务栏中显示以下气球:

冠群金辰KILL发现可伪装成反病毒软件的新型病毒

2.假装扫描系统,虚报感染信息

只要点击气球就会显示流氓软件“间谍软件保护2009”。它会假装扫描系统的恶意软件和虚假报告,并进而发现许多感染。

冠群金辰KILL发现可伪装成反病毒软件的新型病毒

3.要求购买虚假反病毒软件

扫描后,它会建议消除假冒感染。只要受感染用户选择“是的,删除威胁”,它就会把用户浏览器重定向到URL spy-protect-2009.com/purchase?r=5.1,该地址显示一些虚假的安全软件购买信息,要求用户购买该“李鬼”反病毒软件的升级版:

冠群金辰KILL发现可伪装成反病毒软件的新型病毒

这种新的木马病毒除了上面所提到伪装成反病毒软件的“李鬼”本事之外,还有其他的危害,比如会重新定向搜索引擎、下载其他恶意软件下载更多恶意软件、修改Hosts文件等。

KILL反病毒专家提醒广大网民,尽管这种会伪装成反病毒软件的“李鬼”式木马病毒刚刚被发现,目前还不知道会否造成大范围影响,但是鉴于其特殊性,经常使用电脑和上网的大家要注意,记住这种病毒的伪装特征,不要被“李鬼”给忽悠了。


百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134