Malwarebytes安全研究員 Pieter Arntz最近發現了一款偽裝成破解軟件的惡意軟件,但實質上是被用于布置騙局。
一旦計算機被感染,將顯示一個虛假的BSOD(微軟操作系統的經典藍屏死機提示屏幕)。在稍后,還會顯示一個偽裝成“Windows疑難解答”的窗口。最后,此窗口將聲明計算機無法修復,以阻止受害者繼續使用Windows,并提示受害者使用PayPal(貝寶,一款在線付款工具)購買程序以修復“檢測到的問題”并解鎖屏幕。
感染從惡意軟件的安裝程序運行時開始,它將從網站hitechnovation.com下載各種可執行文件并將其保存在不同的文件夾中。然后,配置一個文件作為Windows服務,以便能夠自動啟動并修改某些注冊表項以禁用各種熱鍵。
多個文件及作用csrvc.exe-將被下載并保存到%Temp%csrvc,并會將被配置為Windows服務。用來終止各種進程,如任務管理器、注冊表編輯器和資源管理器;
BSOD.exe-將被下載并保存到%Temp% csrvc,用于顯示虛假的藍屏死機提示屏幕;Troubleshoot.exe-將被下載并保存到%Temp% csrvc,用于顯示虛假的Windows疑難解答工具;
Scshtrv.exe-將被下載并保存到%Temp% csrvc,用于將屏幕截圖上傳到遠程FTP站點(182.50.132.48);Arntz表示,目前還不清楚這個屏幕截圖會被用來干什么;
adwizz.exe-將被下載并保存到C:Program Filesadwizz,用于顯示banggood.com網站的廣告窗口。Arntz表示,這最有可能是該惡意軟件的開發者的另外一種獲利方式——為某些在線購物網站打廣告。
文件執行過程一旦惡意軟件被下載并安裝,BSOD.exe程序將在桌面上顯示一個虛假的藍屏死機提示屏幕。根據屏幕上的信息顯示,指出system32.dll文件出現了異常,并會開始播放一遍又一遍令人心煩的嘟嘟聲(如果你在使用計算機過程中遇到過真實的藍屏死機情況就會知道,在藍屏死機計算機就會發出這種聲音)。
然后,Troubleshoot.exe程序將啟動并顯示一個名為“疑難解答Windows”的窗口,指出計算機缺少“.dll注冊表文件”,并提示是否選擇對計算機進行故障排除。
如果選擇繼續,點擊“下一步(Next)”,它會假裝在執行掃描。并在掃描結束后,顯示無法修復檢測到的問題。并提示受害者可以選擇“在線技術支持(Live Chat Support)”,在Arntz的測試中,并無實際作用;或選擇使用PayPal購買“Windows Defender Essentials”。
在點擊“Buy Windows Defender Essentials”選項后,將打開一個PayPal頁面,并提示受害者需要話費25美元來購買該程序。
根據Arntz的研究,打開的頁面是[email protected] PayPal帳戶,并使用以下網址:
https://www.paypal.com/cgi-bin/webscr?cmd=_s-xclick&hosted_button_id=DXKLEMZTGTTDY
如果受害者付款,將被重定向到http://hitechnovation.com/thankyou.txt,其中包含字符串“thankuhitechnovation”。當Troubleshoot.exe檢測到這個特定的字符串時,它會打開一個偽裝成正在解決問題的新屏幕,并允許受害者關閉窗口。
Arntz表示,Troubleshoot.exe顯然只是一個屏幕保護程序,旨在欺騙受害者花25美元來“修復”所謂的問題。
免費解決方法通過上面的描述我們可以得知,為了確定受害者是否已經通過PayPal進行了付款,Troubleshoot.exe將檢查字符串“thankuhitechnovation”。
這也就成為了它的一個“弱點”。Arntz表示,可以通過一種手段來欺騙Troubleshoot.exe,讓其誤以為付款已經完成,進而可以關閉窗口。
在PayPal頁面上,使用Ctrl+O鍵盤組合會打開一個對話框,詢問用戶要打開哪個頁面,如下所示:
這時候,可以選擇進入類似http://hitechnovation.com/thankyou.txt這樣的頁面 ,只要其中包含有字符串“thankuhitechnovation”。這樣,Troubleshoot.exe就會認為付款已經完成,并允許受害者關閉窗口。
京公網安備 11010502049343號