Video Screencast Help
Protect Your POS Environment Against Retail Data Breaches. Learn More.
Security Community Blog

流氓安全软件之SecurityToolFraud (二)行为

Created: 18 Jan 2010 • Updated: 18 Jan 2010
Livian Ge's picture
0 0 Votes
Login to vote
        最近这段时间里,流氓安全软件家族中又出现了新的成员,SecurityToolFraud

                   5_SecurityToolFraud.jpg

 
        数据表明,在最近的一个月的时间里,平均每天有至少十万台机器中招SecurityToolFraud。
 
        在测试过程中,我们发现,为了诱使用户付费,SecurityToolFraud会严重影响电脑的正常操作:
 
         a.       每次在用户登录后,SecurityToolFraud会主动运行所谓的扫描,然后提示系统中毒,需要激活产品进行清除。

                   6_SecurityToolFraud_a1.jpg
 
                   7_SecurityToolFraud_a2.jpg

 
        b.      在电脑正常使用过程中,SecurityToolFraud会隐藏桌面上所有的快捷方式,用户只能从系统菜单中进行操作。此外,SecurityToolFraud会不时地从System Tray(系统托盘)中弹出虚假的系统安全威胁警告或升级提示等信息。 

                   8_SecurityToolFraud_b.jpg

 
        c.       如果用户不理会以上提示,SecurityToolFraud甚至会以BSoF蓝屏(Blue Screen of Fraud)进行威胁。蓝屏之后,系统会重新登录,SecurityToolFraud又将开始新一轮的“欺诈式洪水攻击”(Fraud Flood Attack)。

                   9_SecurityToolFraud_c.jpg

 
        d.      最可恶的是当用户运行任何可执行程序时,SecurityToolFraud会主动将其终止,并提示该程序被感染了某个莫名其妙的病毒。

                  10_SecurityToolFraud_d.jpg

 
        虽说SecurityToolFraud不是典型的Malware,通常安全厂商会将其归类为Security Risk,Spyware,Adware或者unwanted program,但是一旦中招,电脑便无法正常操作。有人会问,SecurityToolFraud可以正常卸载吗,答案是NO。因为在Windows中,“添加与卸载程序”是通过rundll32.exe运行的,而当SecurityToolFraud执行后,rundll32.exe无法正常运行,下图就是运行结果:

                       11_rundll32.jpg

 
        SecurityToolFraud的付费页面如下,居然VISA和MaterCard都支持!

                 12_Payment.jpg