反惡意軟件

反惡意軟件 介紹

屏幕截圖一個典型的欺騙性活動是將有害威脅偽裝成合法的安全程序,以從經驗不足的受害者那裡竊取金錢。 AntiMalware是此廣告系列的特別簡短的版本,其克隆具有諸如Active SecurityTotal Security之類的名稱 。 AntiMalware使用與Windows Defender和合法的Microsoft安全程序非常相似的界面,使受害者相信AntiMalware是合法的反惡意軟件應用程序。觀察AntiMalware的設計,您將迅速發現外觀真實的Windows和Microsoft Security Essentials徽標,以及對於大多數合法Microsoft Security產品用戶而言似乎都熟悉的佈局。重要的是要了解,AntiMalware是一種欺詐,完全沒有任何反惡意軟件功能。如果發現您的計算機正在顯示來自AntiMalware的通知,則需要使用可靠的真實的反惡意軟件程序從計算機中刪除AntiMalware。

AntiMalware屬於流氓安全程序家族,它們試圖誤導用戶它們是合法的反惡意軟件應用程序。這些感染會影響運行Microsoft Windows操作系統的計算機,並且大多數具有特洛伊木馬類型的惡意軟件的特徵。諸如AntiMalware之類的威脅的典型行為是假裝它們在用戶的計算機上執行防病毒掃描,然後顯示他們在該PC上可能檢測到的一長串感染。然後,該惡意軟件將開始使用虛假的安全警報和彈出窗口對用戶進行轟炸,最終要求他或她購買完整版的AntiMalware,以便從PC中刪除所有這些不存在的感染。

但是,事實是,反惡意軟件或其任何變體都無法檢測到任何惡意軟件,因為這些惡意應用沒有真正的反惡意軟件掃描程序。因此,所有顯示的掃描結果都是完全偽造的,購買任何提供的產品很可能會導致用戶的計算機實際上感染了一些真實且危險的惡意軟件威脅。諸如AntiMalware之類的感染利用一種眾所周知的欺騙性技術來誘使樸素的PC用戶購買虛假的安全工具,其中包括使用名稱,徽標和界面,這些名稱,徽標和界面與合法的Microsoft安全產品(例如Microsoft Security Essentials和Windows Defender)非常相似。 Windows的佈局和反惡意軟件顯示的警報對於許多Windows用戶來說也很熟悉和真實,這使得這類惡意軟件活動特別成功。

諸如AntiMalware之類的虛假防病毒程序可以具有多種變體,所有變體都具有相同的功能,行為和策略。研究人員警告說,這些惡意應用程序可能會被無休止地“重新包裝”和“重新命名”,這意味著網絡罪犯可以使用相同的源代碼來開發具有不同名稱,外觀和界面但能夠執行相同操作的新克隆。. 在AntiMalware活動中檢測到的某些威脅的別名包括Trojan.FakeAV,Artemis!7BB7211CD996,Trojan:Win32FakeCog,CoreGuard Antivirus 2009,AntiVirus,Dr.Guard,惡意軟件防禦,數字保護,AntiMalware,您的保護,數據保護,保護中心,防禦中心,Anvi防病毒,聖騎士防病毒,用戶保護,保護中心,RogueAntiSpyware.WindowsAntivirusPro,FraudTool.Win32.RogueSecurity,Packed.Win32.TDSS.aa等。

感染的典型例行和分佈渠道

像AntiMalware這樣的惡意安全程序遵循一個典型的例程,包括幾個步驟。首先,通常需要藉助另一個能夠利用Java或Flash漏洞的木馬,惡意軟件才能潛入目標PC。安裝惡意軟件後,它將對Windows註冊表進行更改,以確保其持久性並在每次啟動時啟動。然後,類似反惡意軟件的威脅開始向用戶灌輸虛假的安全警告,系統任務欄提示和欺騙性的掃描結果。這些惡意進程減慢了受感染計算機的性能,甚至使其完全崩潰,進而又使惡意軟件努力說服用戶這種奇怪的行為是由於其PC上存在惡意軟件。最後,流氓程序將建議用戶購買該程序的“完整版”以清理計算機。

諸如AntiMalware之類的惡意反惡意軟件應用程序可以通過各種不同的渠道降落在PC上,但這種情況通常發生在用戶訪問帶有嵌入式惡意腳本的網站或從不安全來源下載軟件的情況下。垃圾郵件活動是另一個分發渠道,其中包含攜帶惡意軟件的附件或指向Internet上受感染頁面的鏈接。垃圾郵件鏈接和文件也可以在在線論壇和博客上找到,而惡意廣告,黑客入侵的軟件,電影或音樂以及文件共享網絡上受感染的洪流也可能攜帶惡意負載。研究人員估計,流氓反惡意軟件程序的最大部分是通過聯屬計劃分發的,在聯屬計劃中,供應商招募聯屬公司,以傳播惡意應用程序為任務,以換取部分收入。

技術細節

AntiMalware對Windows註冊表所做的更改可確保該惡意工具在系統啟動時自動運行,同時更改Windows設置以允許該惡意軟件顯示其誤導性錯誤和安全消息,阻止特定應用程序以及連接至互聯網. 在這種情況下,被標識為Win32 / FakeCog的有關AntiMalware流氓安全程序的技術細節表明,該程序在Windows註冊表中創建了一個子項及其關聯的條目:

在子項中:HKLM \ SOFTWARE \ AntiMalware
設置值:“ SecStatus_3”
帶有數據:“ dword:00000001”
設置值:“ Settings_0”
帶有數據:“ dword:00000000”
設置值:“ SecStatus_4”
帶有數據:“ dword:00000001”
設置值:“ SecStatus_5”
帶有數據:“ dword:00000001”
設置值:“ swver”
帶有數據:“ 1.0”
設置值:“ dbver”
帶有數據:“ 1.0”
設置值:“ FD”
帶有數據:“ dword:00000000”
設置值:“ GUID”
帶有數據:“ 455366164553576845534928”
設置值:“ dbsigns”
帶有數據:“ 61473”
設置值:“ InfectedFiles”
帶有數據:“ C:\ WINDOWS \ System32 \ olecli.dll,C:\ WINDOWS \ System32 \ scrrun.dll,C:\ WINDOWS \ System32 \ stclient.dll,C:\ WINDOWS \ System32 \ url.dll,C: \ WINDOWS \ System32 \ winhttp.dll,C:\ WINDOWS \ System32 \ oobe \ dtsgnup.htm,C:\ WINDOWS \ System32 \ Drivers \ cdaudio.sys,C:\ WINDOWS \ System32 \ Drivers \ sonydcam.sys,C: \ Program Files \ outlook Express \ wab.exe,“
設置值:“已感染”
帶有數據:“ dword:00000009”

還已知Win32 / FakeCog將兩個組件留在%TEMP%文件夾中。第一個組件在同一目錄中創建一個具有變量名稱的.dll文件。然後將該文件注入到相應的Windows資源管理器進程中,以確保惡意軟件在受感染的計算機上繼續運行。第二個組件顯示一個對話框,該對話框看起來像它屬於Windows安全中心,然後在同一文件夾中刪除一個具有雙擴展名的文件(例如,看起來像asdf.tmp.exe)。最後一個文件嘗試禁用和刪除計算機上發現的所有合法安全產品,同時安裝惡意程序。

該惡意軟件還會在桌面上創建快捷方式,再次使用合法的Windows防病毒工具的名稱和徽標(例如“ Defense Center支持”或“ Defense Center”),然後Win32 / FakeCog顯示虛假的掃描結果和虛假的安全警報,假裝為Windows安全中心並試圖說服用戶購買完整版本的惡意程序為了使所有交易看起來都安全,該惡意軟件將萬事達卡和Visa等著名支付公司的徽標放在了左下角它還會不斷顯示系統任務欄氣球和對話框,“通知”用戶計算機上已檢測到各種危險威脅,例如rootkit和Trojan,試圖再次引起受害者的注意並說服它升級計算機。當前已將流氓軟件的演示版安裝為完整版和付費版。

Win32 / FakeCog還能夠連接到惡意網站並從它們下載其他文件。這些加密文件可能包含危險數據以及其他類型的惡意軟件。流氓安全軟件的某些變體還具有其他功能-禁用Windows Task Manager. 這是通過修改註冊表來實現的:

在子項中:HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
設置值:“ DisableTaskMgr”
帶有數據:“ 1”
在子項中:HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ system
設置值:“ DisableTaskMgr”
帶有數據:“ 1”

如何防範惡意軟件之類的惡意軟件

用戶為避免感染反惡意軟件和類似威脅所要做的最重要的事情是避免可能包含惡意腳本的可疑網站,不要從不受信任的來源下載和安裝文件,以及不要打開來自未知來源的電子郵件附件發件人。使用具有強大安全設置的Internet瀏覽器也可以防止此類流氓安全程序的侵害,但是購買信譽良好的反惡意軟件應用程序是防範這些危險感染的最安全方法。刪除AntiMalware及其變種也很棘手,因此,建議經驗不足的PC用戶使用可靠的專業刪除工具。

無論其名稱如何,AntiMalware實際上都是一種威脅

AntiMalware是惡意安全軟件欺騙策略的典型迭代。這是一種眾所周知的在線策略,旨在掠奪經常訪問不安全網站的缺乏經驗的計算機用戶. AntiMalware策略有幾個步驟,所有這些步驟都是這種感染的典型特徵:

  1. 首先,通常在另一個木馬的幫助下,將AntiMalware安裝在受害者的計算機上。 AntiMalware感染的典型來源可能包括利用Java或Flash中的安全漏洞的不安全廣告,色情視頻網站上的虛假視頻編解碼器以及文件共享網絡上的流行文件的虛假版本。
  2. 安裝後,AntiMalware會對Windows註冊表進行更改,以允許AntiMalware在啟動時自動運行。 AntiMalware還會更改您的計算機設置,以便AntiMalware能夠顯示錯誤消息,系統通知和安全警報,並能夠連接到Internet,阻止特定的應用程序並導致計算機意外崩潰。
  3. 一旦受害者的計算機重新啟動,AntiMalware就會在該計算機上使用其新發現的功能,以使受害者相信已檢測到威脅。 AntiMalware會通過顯示受害者計算機的偽造掃描,不斷向偽造的安全警報纏擾受害者,使受害者計算機行為不穩定,頻繁崩潰,運行緩慢並變得不穩定來實現此目的。
  4. 然後,AntiMalware將假裝為AntiMalware本身引起的問題提供解決方案。但是,首先,受害者必須為偽造的“完整版” AntiMalware付費。

屏幕截圖 屏幕截圖 屏幕截圖 屏幕截圖 屏幕截圖 屏幕截圖 屏幕截圖

別名: Trojan.FakeAV [Symantec], Suspicious file [Panda], Artemis!7BB7211CD996 [McAfee+Artemis], Suspicious:W32/Riskware!Online [F-Secure], Sus/UnkPacker [Sophos], RogueAntiSpyware.WindowsAntivirusPro, FraudTool.Win32.RogueSecurity (v) [Sunbelt], Mal/FakeAV-BP [Sophos], W32/FakeAV.C!genr, a variant of Win32/Kryptik.BFC [NOD32], Trojan:Win32/FakeCog [Microsoft], Trojan.PCK.Tdss.AA.636 [McAfee-GW-Edition], Artemis!6B53DC5751F6 [McAfee+Artemis], Packed.Win32.TDSS.aa [Kaspersky], Packed.Win32.Tdss [Ikarus].

您是否擔心您的計算被反惡意軟件 &或其他威脅感染? 用SpyHunter掃描您的電腦

SpyHunter是一款功能強大的惡意軟件修復和保護工具,幫助用戶進行深入的計算機系統安全分析,檢測和清理如反惡意軟件的各種威脅,並提供一對一的技術支持服務。 下載SpyHunter的免費惡意軟件清除器
請註意:SpyHunter的掃描儀用於惡意軟件檢測。如果SpyHunter在您的PC上檢測到惡意軟件,則需要購買SpyHunter的惡意軟件清除工具以清除惡意軟件威脅。查看更多關於SpyHunter的信息。免費的清除器可以使您可以進行壹次性掃描,並在48小時等待時間內接受壹次修復和清除。免費的清除器,需遵循促銷詳細信息和特殊促銷條款。要了解我們的政策,還請查看我們的最終用戶許可協議隱私政策威脅評估標準。如果您不再希望在計算機上安裝SpyHunter,請參考這些步驟卸載SpyHunter

技術信息

屏幕截圖&其他影像

提醒:將聲音打開全屏觀看視頻,以完全體驗反惡意軟件是如何感染計算機的。

Is your PC Infected with the 'AntiMalware' Rogue AntiSpyware Program?

反惡意軟件 Image 1 反惡意軟件 Image 2 反惡意軟件 Image 3 反惡意軟件 Image 4 反惡意軟件 Image 5 反惡意軟件 Image 6

文件系統詳情

反惡意軟件創建以下文件:
# 文件名 大小 MD5
1 antimalware[1].exe 1,572,864 5c69d34ec162f045228eb5cb316ff8c9
2 antimalware.exe 1,601,536 6b53dc5751f6690cc093c0e318e13a00
更多文件

網站免責聲明

Enigmasoftware.com與本文中提到的惡意軟件創建者或分銷商沒有任何關聯、贊助或附屬關系。本文不應被理解為與惡意軟件的宣傳或認可。我們的目的是提供信息,讓用戶根據本文中的Spyhunter手動清理說明來檢測並清理計算機上的惡意軟件。

本文“按原樣”提供,僅用於教育信息目的。通過遵循本文的任何說明,即表示您同意受免責聲明的約束。 我們不保證本文將幫助您徹底刪除PC上的惡意軟件威脅。 間諜軟件定期更改; 因此,很難通過手動方式完全清潔受感染的機器。

發表評論

請不要將此評論系統用於支持或結算問題。 若要獲取SpyHunter技術支持,請通過SpyHunter打開技術支持問題直接聯繫我們的技術團隊。 有關結算問題,請參考“結算問題?”頁面。 有關一般查詢(投訴、法律、媒體、營銷、版權),請訪問我們的“查詢和反饋”頁面。