2012年6月12日 星期二

你的防毒軟體是真的嗎?深入了解FakeAV

工作到了一半,突然出現了警告視窗,電腦中毒了嗎?!


TROJ_FAKEAV_ZZA_img21    


相信您曾經看過這樣的畫面,可是這些畫面似乎又跟自己安裝的防毒軟體好像不太一樣,這到底是怎麼一回事呢?


fakeav4  


事實上,這些警告訊息都只是偽裝的,看起來像是防毒軟體正在幫您掃描電腦,其實背後已經有真正的惡意程式悄悄的植入您的系統中,


FakeAV.doq_2  


偽裝的防毒軟體在近年來已成為一種趨勢,且絲毫沒有減退的現象,不管是網頁,電子郵件,甚至時下流行的社群網站如Twitter、Facebook等,都已經成為FakeAV散播的溫床.


想要預防這些偽裝的防毒軟體入侵您的電腦,您就必須要了解它的特性,我們將提供您一些小秘訣,讓您能夠很快的分辨出這些偽裝的防毒軟體.


感染FakeAV變種病毒後電腦會產生以下反應: 

1.桌面會跳出自動掃描的視窗,並有許多錯誤訊息出現 
2.桌面圖示全部消失 
3.開始功能表中的程式集消失 
4.檔案全部變成隱藏屬性 
5.工作管理員無法開啟 
6.我的電腦中看不到磁碟機 


秘訣1:真正的防毒軟體不會未經使用者同意即主動安裝並進行「掃描」這個動作.


過去我們曾經提到過,駭客會利用搜尋引擎導引使用者連結到Fakeav的網站,使用者可能會看到類似下面的畫面:


當使用者按下「OK」按鈕即允許同意惡意程式自動安裝在系統中並直接進行掃描.


真正的防毒軟體是不會用這種方式運作的,使用者對程式有控制權,在安裝與掃描惡意程式之前都會在使用者知情的情況下執行,不會自動安裝.倘若您的電腦裡有防毒軟體但您卻不記得曾經安裝過它,就可能是偽裝的防毒軟體.


秘訣2:現今的防毒軟體以不打擾使用者為目標


以前,防毒軟體有時候會讓使用者覺得困擾,尤其是在掃描到病毒的時候.但現在,許多合法的防毒軟體廠商改善了它們的使用介面,以不讓使用者感覺到麻煩為目標.


相反的,假的防毒軟體會不斷的顯示惱人的訊息來引起使用者的恐慌.以下是一些假的防毒軟體警示的畫面:


秘訣3:若您不斷的被提醒必須啟用這個產品,那有可能是假的防毒軟體.


新的FakeAV變種有看起來非常專業的使用介面,但是每個有用的功能都要求使用者要啟用軟體 後才能使用,這是因為它們的主要目的是在賺取金錢,最好的方法就是透過使用者啟用的方式.


另外一種常見的方式來分辨假的防毒軟體,真正的防毒軟體將會解決所有掃描到的威脅,而不會要求使用者先付費才做清除.而假的防毒軟體會要求使用者付費後才能獲得解決方案.


秘訣4:掃描引擎是您的好朋友


網路上有句話說:Everything is just a Google search away. 如果您覺得可疑,使用搜尋引擎搜尋相關資料並不會有造成甚麼損害.若您對您系統中防毒軟體的真偽有疑慮,請記下產品的名稱,若是真正的防毒軟體,您可以很快的找到合法的網頁.若搜尋的是假的防毒軟體,通常會找到其他使用者受到感染的報告.


秘訣5:我的系統被感染了,怎麼辦?


趨勢科技提供偵測且移除假的防毒軟體,專門清除假防毒軟體的免費工具:


FakeAV Remover


01


使用方法:



  1. 下載到暫存資料夾中執行解壓縮

  2. 執行FakeAVRemover.exe,會出現授權合約,請選擇「Accept」後按「Next」,即會出現下列視窗:
    若您想完整掃描系統中所有執行中的處理程序,請按「Scan All Processes」

  3. 若您只想掃描特定的處理程序,請按「Scan Selected Processes」,然後選擇您想掃描的處理程序並點選「Scan Now」
     

  4. 如果您看到系統出現很像FakeAV的畫面想要對它做掃描,可點選「Scan a Window」,將準心圖示拖曳至畫面上放開後即可進行掃描


  5. 會跳出掃描處理程序的畫面


  6. 當掃描程序結束,會列出所有跟這個畫面相關的處理程序與登錄值


  7. 選擇您未曾編輯或修改過的項目並點選「Clean」


  8. 若您不小心刪除到正常的檔案或登錄值,點選「Quarantine」標籤後,勾選您所要復原的項目並按「Restore」按鈕.



 


若您的電腦感染 Fake AV 後無法點選開始功能表或檔案總管執行 FakeAV Remover


請依照下列步驟執行:



  1. 使用快捷鍵 Windows 鍵(鍵盤上有 Windows 視窗符號的按鈕) + 英文字 R 鍵可開啟執行視窗

  2. 輸入 cmd 後按 Enter

  3. 在命令提示字元中輸入 ”%Programfiles%\Internet Explorer\iexplore.exe” 然後按 Enter

  4. 瀏覽器開啟後輸入下述網址
    http://solutionfile.trendmicro.com/solutionfile/EN-1056510/EN/svchost.exe

  5. 將檔案儲存到C:\ (Windows 7無法儲存至C:\,請改存放至其他暫存目錄)

  6. 回到命令提示字元視窗,輸入 C:\svchost.exe 並按 Enter

  7. 執行掃描或選擇需要掃描的處理程序進行清除與修復

  8. 在命令提示字元中依序輸入以下指令
    attrib –h c:\*.* /s /d
    attrib –h d:\*.* /s /d
    03  

  9. 打開以下路徑:
    C:\Documents and Settings\All Users\Application Data
    C:\ProgramData
    刪除可疑的亂碼程式,例如6DSS92c31Apgjk.exe和iXeCoRGTCNoNBmj.exe 
    02

  10. 下載修復登錄檔,解壓縮後執行restore_RET.1.reg ,重新開機後,即可恢復正常運作,收工


張貼者:
標籤:

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)