Win32/FakeAV.NF

04:05 | 15.09.2010

Hệ thống bị ảnh hưởng: Windows XP / NT / Server 2003/2000, …

Mức độ lan truyền:Thường xuyên.

Mức độ cảnh báo: Nguy hiểm

Mô tả : Win32/FakeAV.NF là một Trojan tự cải trang chính nó như là phần mềm Anti-virus hợp pháp. Chúng đưa ra những cảnh báo, quảng cáo, và kết quả quét giả mạo tới người dùng, đồng thời chúng cho phép tải về phần mềm độc hại khác

Hình thức lây nhiễm :

- Khi hoạt động, Win32/FakeAV.NF gọi các tập tin thành phần sau:

%Program Files%\ViRsLab\uninst.exe

% Program Files% \ ViRsLab \ uninst.exe

%Program Files%\ViRsLab\ViRsLab.exe

% Program Files \% ViRsLab.exe \ ViRsLab

%Program Files%\ViRsLab\ViRsLabWarning.dll

% Program Files \% ViRsLabWarning.dll \ ViRsLab

Lưu ý:% Program Files% là một vị trí khác nhau trên các User.

Phần mềm độc hại sẽ xác định vị trí của thư mục, chương trình hiện hành bằng cách truy vấn tập tin hệ điều hành một vị trí điển hình cho thư mục này sẽ là: C:\ Program Files.

- Thực hiện ghi tập tin lên Registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B394226-862F-4aa4-AA53-988E24F50841} HKLM \ SOFTWARE Classes\ CLSID \ (2B394226-862F-4aa4-AA53-988E24F50841)

HKEY_CLASSES_ROOT\CLSID\{2B394226-862F-4aa4-AA53-988E24F50841}\@ = "ViRsLabWarningBHO Class" HKCR \ CLSID \ (2B394226-862F-4aa4-AA53-988E24F50841) \ @ = ViRsLabWarningBHO "Class"

HKEY_CLASSES_ROOT\CLSID\{2B394226-862F-4aa4-AA53-988E24F50841}\InprocServer32 @ = "%Program Files%\ViRsLab\ViRsLabWarning.dll" HKEY_CLASSES_ROOT \ CLSID \ (2B394226-862F-4aa4-AA53-988E24F50841) \ InProcServer32 @ = "% Program Files \% ViRsLabWarning.dll \ ViRsLab"

- Sửa đổi Registry: Add thêm các khoá sau:

HKEY_CURRENT_USER\Software\ViRsLab HKCU \ Software \ ViRsLab HKEY_CURRENT_USER\Software\ViRsLab\aid = "< ID >" HKCU \ Software \ ViRsLab  \ = "> ID <"
HKEY_CURRENT_USER\Software\ViRsLab\Update HKCU \ Software \ ViRsLab\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ViRsLab\@ = "%Program Files%\ViRsLab\ViRsLab.exe"

HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths \ \ ViRsLab @ = "% Program Files% \ ViRsLab \ ViRsLab.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2B394226-862F-4aa4-AA53-988E24F50841}\NoExplorer = dword:00000001

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ (2B394226-862F-4aa4-AA53-988E24F50841) \ NoExplorer = dword: 00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ ViRsLab
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\DisplayName = "VirusResponse Lab 2009 2.1"

HKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ ViRsLab DisplayName \ = "VirusResponse Lab 2009 2.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\UninstallString = "%Program Files%\ViRsLab\uninst.exe" HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ ViRsLab \ UninstallString = "% Program Files% \ ViRsLab \ uninst.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\DisplayIcon = "%Program Files%\ViRsLab\ViRsLab.exe" HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ ViRsLab DisplayIcon \ = "% Program Files% \ ViRsLab \ ViRsLab.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\DisplayVersion = "2.1" HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ ViRsLab DisplayVersion \ = "2.1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\URLInfoAbout = " http://www.viruslabs2009.com " HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ ViRsLab \ URLInfoAbout = "http://www.viruslabs2009.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\Publisher = "VirusResponse Lab 2009 Software" HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ ViRsLab Nhà xuất bản \ = "VirusResponse Lab 2009 Phần mềm"

- Ngoài ra, Win32/FakeAV.NF tạo ra một mục trong Start Menu và phím tắt một máy tính để bàn.

%Documents and Settings%\< username >\Desktop\VirusResponse Lab 2009 2.1.lnk

% Documents and Settings% \ <tên truy cập> \ Desktop \ VirusResponse Lab 2009 2.1.lnk

%Documents and Settings%\< username >\Application Data\Microsoft\Internet Explorer\Quick Launch\VirusResponse Lab 2009 2.1.lnk

% Documents and Settings% \ <tên truy cập> \ Application Data \ Microsoft \ Internet Explorer \ Quick Launch \ VirusResponse Lab 2009 2.1.lnk

%Documents and Settings%\< username >\Start Menu\VirusResponse Lab 2009 2.1.lnk % Documents and Settings% \ <tên truy cập> \ Start Menu \ VirusResponse Lab 2009 2.1.lnk

%Documents and Settings%\< username >\Start Menu\Programs\VirusResponse Lab 2009 2.1\VirusResponse Lab 2009 2.1.lnk

% Documents and Settings% \ <tên truy cập> \ Start Menu \ Chương trình \ VirusResponse Lab 2009 2,1 \ VirusResponse Lab 2009 2.1.lnk

Lưu ý: Documents% và% Settings là một vị trí khác nhau và đều trong  thư mục Documents and Settings. Phần mềm độc hại sẽ xác định vị trí của các văn bản hiện hành và thư mục bằng cách truy vấn cài đặt hệ điều hành. Vị trí điển hình cho thư mục này là C: \ Documents and Settings.

Hướng dẫn diệt bằng tay

Nếu máy tính của bạn không có cài đặt chương trình diệt virus hoặc các chương trình đo không được cập nhật. Hãy làm theo hướng dẫn dưới đây để xóa Win32/FakeAV.NF Sử dụng Task Manager (CTL+ ALT + DELETE) để chấm dứt quá trình hoat động của virus trên process( Kill Process )

Xóa các tập tin virus gốc (vị trí sẽ tùy thuộc vào chương trình ban đầu như thế nào thâm nhập máy tính nạn nhân).

Xóa các thông số sau từ hệ thống Regedit (Chi tiết về cách chỉnh sửa Registry xin bạn tham khảo một số Web)

Kết luận:

Người dùng có thể dùng cách này để Delete một số Virus khác tương tự dòng Autorun