Đăng Nhập
Tìm kiếm
Top posting users this month
| No user |
Thống Kê
Hiện có 3 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 3 Khách viếng thăm Không
Số người truy cập cùng lúc nhiều nhất là 58 người, vào ngày Wed Aug 02, 2017 7:50 pm
Win32/FakeAV.NF
SeHTF :: Câu lạc bộ An ninh mạng for Security 2TVN :: Góc nhìn hệ thống by Security 2TVN :: An ninh máy tính by Security 2TVN :: Thông tin cập nhật Top Virus by Security 2TVN :: Top 100 Virus
Trang 1 trong tổng số 1 trang
04022011
Win32/FakeAV.NF
Win32/FakeAV.NF
04:05 | 15.09.2010
Hệ thống bị ảnh hưởng: Windows XP / NT / Server 2003/2000, …
Mức độ lan truyền:Thường xuyên.
Mức độ cảnh báo: Nguy hiểm
Mô tả
: Win32/FakeAV.NF là một Trojan tự cải trang chính nó như là phần mềm
Anti-virus hợp pháp. Chúng đưa ra những cảnh báo, quảng cáo, và kết quả
quét giả mạo tới người dùng, đồng thời chúng cho phép tải về phần mềm
độc hại khác
Hình thức lây nhiễm :
- Khi hoạt động, Win32/FakeAV.NF gọi các tập tin thành phần sau:
%Program Files%\ViRsLab\uninst.exe
% Program Files% \ ViRsLab \ uninst.exe
%Program Files%\ViRsLab\ViRsLab.exe
% Program Files \% ViRsLab.exe \ ViRsLab
%Program Files%\ViRsLab\ViRsLabWarning.dll
% Program Files \% ViRsLabWarning.dll \ ViRsLab
Lưu ý:% Program Files% là một vị trí khác nhau trên các User.
Phần
mềm độc hại sẽ xác định vị trí của thư mục, chương trình hiện hành bằng
cách truy vấn tập tin hệ điều hành một vị trí điển hình cho thư mục này
sẽ là: C:\ Program Files.
- Thực hiện ghi tập tin lên Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B394226-862F-4aa4-AA53-988E24F50841}
HKLM \ SOFTWARE Classes\ CLSID \ (2B394226-862F-4aa4-AA53-988E24F50841)
HKEY_CLASSES_ROOT\CLSID\{2B394226-862F-4aa4-AA53-988E24F50841}\@ =
"ViRsLabWarningBHO Class" HKCR \ CLSID \
(2B394226-862F-4aa4-AA53-988E24F50841) \ @ = ViRsLabWarningBHO "Class"
HKEY_CLASSES_ROOT\CLSID\{2B394226-862F-4aa4-AA53-988E24F50841}\InprocServer32
@ = "%Program Files%\ViRsLab\ViRsLabWarning.dll" HKEY_CLASSES_ROOT \
CLSID \ (2B394226-862F-4aa4-AA53-988E24F50841) \ InProcServer32 @ = "%
Program Files \% ViRsLabWarning.dll \ ViRsLab"
- Sửa đổi Registry: Add thêm các khoá sau:
HKEY_CURRENT_USER\Software\ViRsLab
HKCU \ Software \ ViRsLab HKEY_CURRENT_USER\Software\ViRsLab\aid =
"< ID >" HKCU \ Software \ ViRsLab \ = "> ID <"
HKEY_CURRENT_USER\Software\ViRsLab\Update HKCU \ Software \ ViRsLab\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ViRsLab\@ = "%Program Files%\ViRsLab\ViRsLab.exe"
HKEY_LOCAL_MACHINE\
SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths \ \ ViRsLab
@ = "% Program Files% \ ViRsLab \ ViRsLab.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{2B394226-862F-4aa4-AA53-988E24F50841}\NoExplorer =
dword:00000001
HKEY_LOCAL_MACHINE
\ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser
Helper Objects \ (2B394226-862F-4aa4-AA53-988E24F50841) \ NoExplorer =
dword: 00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \
ViRsLab
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\DisplayName = "VirusResponse Lab 2009 2.1"
HKEY_LOCAL_MACHINE\
SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ ViRsLab
DisplayName \ = "VirusResponse Lab 2009 2.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\UninstallString
= "%Program Files%\ViRsLab\uninst.exe" HKLM \ SOFTWARE \ Microsoft \
Windows \ CurrentVersion \ Uninstall \ ViRsLab \ UninstallString = "%
Program Files% \ ViRsLab \ uninst.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\DisplayIcon
= "%Program Files%\ViRsLab\ViRsLab.exe" HKLM \ SOFTWARE \ Microsoft \
Windows \ CurrentVersion \ Uninstall \ ViRsLab DisplayIcon \ = "%
Program Files% \ ViRsLab \ ViRsLab.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\DisplayVersion
= "2.1" HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \
Uninstall \ ViRsLab DisplayVersion \ = "2.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\URLInfoAbout
= " http://www.viruslabs2009.com " HKLM \ SOFTWARE \ Microsoft \
Windows \ CurrentVersion \ Uninstall \ ViRsLab \ URLInfoAbout =
"http://www.viruslabs2009.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViRsLab\Publisher
= "VirusResponse Lab 2009 Software" HKLM \ SOFTWARE \ Microsoft \
Windows \ CurrentVersion \ Uninstall \ ViRsLab Nhà xuất bản \ =
"VirusResponse Lab 2009 Phần mềm"
- Ngoài ra, Win32/FakeAV.NF tạo ra một mục trong Start Menu và phím tắt một máy tính để bàn.
%Documents and Settings%\< username >\Desktop\VirusResponse Lab 2009 2.1.lnk
% Documents and Settings% \
%Documents and Settings%\< username >\Application
Data\Microsoft\Internet Explorer\Quick Launch\VirusResponse Lab 2009
2.1.lnk
%
Documents and Settings% \
Microsoft \ Internet Explorer \ Quick Launch \ VirusResponse Lab 2009
2.1.lnk
%Documents and Settings%\< username >\Start Menu\VirusResponse
Lab 2009 2.1.lnk % Documents and Settings% \
Start Menu \ VirusResponse Lab 2009 2.1.lnk
%Documents and Settings%\< username >\Start Menu\Programs\VirusResponse Lab 2009 2.1\VirusResponse Lab 2009 2.1.lnk
%
Documents and Settings% \
trình \ VirusResponse Lab 2009 2,1 \ VirusResponse Lab 2009 2.1.lnk
Lưu ý: Documents% và% Settings là một vị trí khác nhau và đều trong thư mục Documents and Settings.
Phần mềm độc hại sẽ xác định vị trí của các văn bản hiện hành và thư
mục bằng cách truy vấn cài đặt hệ điều hành. Vị trí điển hình cho thư
mục này là C: \ Documents and Settings.
Hướng dẫn diệt bằng tay
Nếu
máy tính của bạn không có cài đặt chương trình diệt virus hoặc các
chương trình đo không được cập nhật. Hãy làm theo hướng dẫn dưới đây để
xóa Win32/FakeAV.NF Sử dụng Task Manager (CTL+ ALT + DELETE) để chấm dứt
quá trình hoat động của virus trên process( Kill Process )
Xóa các tập tin virus gốc (vị trí sẽ tùy thuộc vào chương trình ban đầu như thế nào thâm nhập máy tính nạn nhân).
Xóa các thông số sau từ hệ thống Regedit (Chi tiết về cách chỉnh sửa Registry xin bạn tham khảo một số Web)
Kết luận:
Người dùng có thể dùng cách này để Delete một số Virus khác tương tự dòng Autorun
Admin- Chủ Tịch Se S2T
-
Con Giáp : 
Tuổi giáp Trung Hoa :
Tổng số bài gửi : 1481
Điểm Se S2T : 88055
Sinh Nhật : 03/11/1990
Tham gia ngày : 27/08/2009
Tuổi : 33
Đến từ : Äồng Há»›i City
Sở thích : Máy tÃnh, Soft, AV....
Tính hài hước : Bình thÆ°á»ng
Huy chương
Sức mạnh:
(100/100)
Điểm SeS2T: (50/50)
Share this post on:
Similar topics» How to disinfect computer from the virus Win32.FunLove? - làm sao xực con Win32.FunLove ra khỏi máy tính
» How to disinfect a PC from Virus.Win32.Virut.ce - Làm sao để xực con Virus.Win32.Virut.ce khỏi máy tính
» Worm.Win32.DownLoader.
» Win32/Cimag.H
» Virus.Win32.Virut.ce
» How to disinfect a PC from Virus.Win32.Virut.ce - Làm sao để xực con Virus.Win32.Virut.ce khỏi máy tính
» Worm.Win32.DownLoader.
» Win32/Cimag.H
» Virus.Win32.Virut.ce
Permissions in this forum:
Bạn không có quyền trả lời bài viết
