宝坻信息港
科技
当前位置:首页 > 科技

FakeAV木马假冒杀毒软件行骗暗中窃取

发布时间:2019-05-15 06:05:58 编辑:笔名

近日,360安全中心拦截到一批假冒杀毒软件及系统补丁的木马程序(FakeAV)。此类木马通过恶意页伪造Windows弹窗,恐吓访问者电脑存在风险,借机将木马安插到民电脑中。据分析,FakeAV木马具有篡改浏览器首页,收集和上传受害者信息,以及强迫安装多款播放器等危害,民可使用360安全卫士将其拦截查杀。

安全机构研究报告表明,假冒杀毒软件的木马自从2006年开始流行,是国外十分猖獗的一种络欺骗手段。Google数据显示,该类威逼已占据全部恶意软件的15%。就在不久前的6月份,美国警方联合欧洲7国执法部门破获一起假冒杀毒软件欺骗案,涉案金额超过7200万美元,而微软也曾专门为删除某款假冒杀毒软件发布补丁。

根据360安全专家介绍,FakeAV木马之所以能够骗到不少民,主要依靠页动画制造出电脑中毒的假象。此前,一个名为广告炸弹的木马乃至设计出电脑行将高温爆炸的骗局,欺骗民付费购买某款软件的注册码。如果友将这类页关闭,所有中毒现象都会不治自愈。

专家提示,如果有民电脑感染了FakeAV木马,应及时下载使用360安全卫士进行全盘扫描,以避免个人重要数据被木马盗取。

附:FakeAV木马分析

一:不法分子首先通过论坛链接、电子邮件等方式将用户引导至hxxp://,并弹出捏造电脑中毒现象的提示:

点击确定后出现一个弹窗和下载链接,欺骗用户下载:

该页还会提示访问者修改主页:

之后下载一个假冒Windows补钉的恶意程序(FakeAV木马):

2、文件名为Windowsxp-补丁的FakeAV木马运行后,搜集用户机器信息传送到服务器端,并暗中下载推广多款软件。

l 获得机器MAC,和机器描写信息

l 向站

hxxp://"提交用户的信息

从hxxp://将恶意软件暗中下载到临时目录

下载结束,履行木马文件

下载和执行,内含3个软件静默安装的推广包,也就是用户电脑中会莫名其妙的多出三个软件。

"C:\Program Files\Kuping_s_e"

hxxp://

hxxp://

hxxp://

带有数字签名的静默安装包

b7a97ad499cb8fd5f1f PPTV(pplive)_forqiqi_e

bc908a9bad1407ba4a948ffe8 FunshionInstall_e

b668f13c4885db413666ef2a1a5dd912 Kuping_s_e

3、e执行分析

创建命名管道执行CMD命令,设置文件属性。

创建隐藏IE 打开

生成加密Media e

Media e会用e替换Outlook Express\e

修改主页hxxp://

修改右键菜单:

"HKEY_CLASSES_ROOT\CLSID\{871CA-A2EA-08002B30309D}\shell\OpenHomePage\Command\", "C:\Program Files\Internet Explorer\e ","REG_SZ"

c430ec439ca3b48f1e33839a2852babf e

c430ec439ca3b48f1e33839a2852babf e

月经推迟经量少怎么办
引起月经量多的原因
怎样减少痛经的疼痛