Virus mới "AntispywareProXP"

[Candy]

Thể loại: Giả mạo ứng dụng
Tên : Antispyware PRO XP
Nơi phát tán: www.antispyware-pro-xp.com
Mức độ ảnh hưởng: Khá nguy hiểm
Hoạt động trên các hệ thống: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Tác hại:
Antispyware PRO XP là một Ứng dụng giả mạo chương trình diệt virus, sau khi cài đặt và quét nó sẽ thông báo hệ thống nhiễm hàng loạt virus mà thực ra là hệ thống của bạn không hề bị nhiễm virus chút nào. Giả sử mà có virus thật thì nó cũng không hề thông báo cho bạn đúng con virus đấy.

Nó sẽ thông báo hàng loạt báo cáo giả rằng hệ thống đã nhiễm virus

Người dùng sau đó muốn remove virus sẽ phải thực thi một bảng để apply key của phần mềm này.

Nó làm việc trong hệ thống như thế nào :

Khi chương trình thi hành nó sẽ tạo ra các folder sau :
C:\Documents and Settings\All Users\Application Data\Software Licensors

Nó tạo các file sau:

* C:\Documents and Settings\All Users\Application Data\services\services.dll
* C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
* C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\LOG[YYYYMMDDTIME].log

Tiếp theo, chương trình sẽ tạo những registry entry sau cho phép nó thi hành bất cứ khi nào Windows khởi động:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"s9201" = "C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe" /autorun

Nó cũng tạo các registry subkeys sau:
Mã:
*HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Drivers
* HKEY_CURRENT_USER\Software\Software Licensors
* HKEY_CURRENT_USER\Software\Software Licensors\Antispyware PRO XP
Cách khắc phục :

1. Disable System Restore (Windows Me/XP).
2. Update chương trình diệt virus
3. Scan toàn bộ hệ thống bằng phần mềm diệt virus "xịn"

Vào Start --> Run --> đánh taskmgr. Chọn Processes
Tìm và tắt các processes của Antispyware Pro XP (nếu có):
Antispywareproxp.exe
antispyware-2008.exe
antispywareproxp.exe
as2008xp.exe
setup_1_2_[1].exe
setup_100527_3_.exe
setup.exe
asproxp.exe

4. Xóa bát kì value và key nào được add vào registry bất hợp pháp:

Xóa các key sau:
Mã:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"s9201" = "C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe" /autorun

* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Drivers
* HKEY_CURRENT_USER\Software\Software Licensors
* HKEY_CURRENT_USER\Software\Software Licensors\Antispyware PRO XP
Xóa các file và folder mà Antispyware PRO XP tạo ra.