23 May 2011

[Phân tích] Giả mạo FBI phát tán Fake Recovery


Bài viết liên quan:

Gần đây, hệ thống HoneyPot của chúng tôi thu thập được một loạt email giả mạo FBI (được gửi từ địa chỉ info40121@fbi.gov) với nội dung đe dọa, yêu cầu người nhận mở file đính kèm để trả lời một số câu hỏi.
Nội dung email
Khi người sử dụng mở file đính kèm (thực chất là một loại trojan được Bkav nhận diện với tên W32.FakeFBIVariantovLT.Trojan), chương trình sẽ kết nối đến địa chỉ http://vari[removed]tov.com/pusk.exe để download và thực thi một malware khác.
Sau khi lây nhiễm vào hệ thống, malware này sẽ liên tục cho hiện các thông báo lỗi ổ đĩa cứng:
Hàng loạt lỗi về phần cứng được cảnh báo
Theo như những cảnh báo này, có vẻ hệ thống đang ở trong tình trạng rất tồi tệ, nguy cơ mất mát dữ liệu hiển hiện ngay trước mắt. Tuy nhiên, ngay lập tức “người hùng” WindowsRecovery xuất hiện, giúp khắc phục những lỗi về phần cứng đang được cảnh báo và khôi phục những dữ liệu quan trọng.
Giao diện “người hùng” WindowsRecovery
Tuy nhiên, người dùng phải trả một khoản phí để mua bản quyền của phần mềm này.
Truy cập domain giả mạo windows-recovery.com với IE giả mạo
Nếu người sử dụng làm theo những hướng dẫn của chương trình, họ sẽ trở thành nạn nhân của hacker và mất đi một khoản tiền không nhỏ. Kịch bản lừa đảo này rất giống với FakeAV – dòng virus đang hoành hành trong thời gian gần đây, chỉ khác là lần này chúng giả mạo phần mềm khôi phục dữ liệu và đưa ra các cảnh báo lỗi phần cứng chứ không nhẹ nhàng là lỗi phần mềm như trước nữa.
Kẻ xấu phải liên tục thay đổi phương thức, kịch bản lừa đảo như vậy bởi vì ý thức của người sử dụng đã được nâng cao rõ rệt nhờ những cảnh báo kịp thời của các công ty an ninh mạng. Tuy nhiên, để bảo vệ máy tính một cách toàn diện và hiệu quả nhất bạn nên sử dụng một phần mềm diệt virus có bản quyền và được cập nhật thường xuyên.

0 comments:

Post a Comment

Để lại góp ý của bạn để blog của mình hoàn thiện hơn :))