原來MAC OS上也流行假防毒

在最近這一兩週，MAC上有些不太平靜
因為往常只會出現在Windows上的Fake AV(假防毒軟體)
現在居然也開始出現在MAC OS上了！



Fake AV這種軟體，它的行為
一般是通過假的檢測行為，告訴你系統哪裡出了毛病
或是藏了哪些病毒，然後等到你要用它的清除或解毒功能的時候
它就會要求說需要付費才能繼續你所需要的行為
但是這通常都是偽造的！


Fake AV最早的時候也有存在於網頁上的形式
像圖片例子中的這個Fake AV
對於使用XP Classic介面的人，可能會受騙
因為這類的Fake AV是模仿線上掃描
然後GUI的部份用動畫圖片的方式呈現
如果你不是用XP Classic或是其它的系統
那你就會看到一個相當違和的畫面




其實在MAC的世界裡，病毒的流傳一直都沒有停止過
很多廠商例如Norton, McAfee, ESET, F-Secure等他們都有MAC版防毒軟體
但是Fake AV的出現，其意義上告訴了我們一些事情
MAC用戶在經意或不經意情況下找防毒軟體，但卻找到Fake AV
似乎顯示MAC用戶的防毒需求攀升到連Fake AV都有利可圖的地步


最後還是建議MAC用戶，網路上來歷不明或P2P來的無版權軟體少碰
軟體應儘量由APP Store下載，這裡有Apple嚴格的監督與把關
APP Store裡沒有的，也找可信賴的廠商提供聯結
儘量避免免費網路空間，因為放在這裡的東西
有沒有被加料我們很難知道
其實這些上網習慣，跟我平常說在Windows平台上的方法大同小異


最後我知道有些MAC用戶
可能覺得這沒什麼，不認為自己是下一個目標
並不值得一提，但是假如有一天你發現你重標了！
上網一搜，你會發現結果居然是自己很難相信的
"You are Not Alone!"


報導及圖片出處
http://www.net-security.org/malware_news.php?id=1727 (繼續閱讀...)

樣本分析－fake AntiVirus

這是我在分析本月PCSL測試樣本時發現的一個很有趣的樣本
這個樣本它是一個fake AntiVirus，fake AntiVirus是一種模仿防毒軟體的一種惡意軟體
表面上似乎是一款防毒軟體，但實際上這種假防毒軟體其實是做一些病毒才會做的事情！



這個fake AntiVirus跟一般的fake AntiVirus不太相同，因為它真的很像一款防毒軟體
而且很多防毒軟體的小細節它全部都顧慮到了
所以它沒有一般fake AntiVirus粗製濫造一眼便看穿企圖的問題
相反的，作者的水平還頗高，絕不是那種連外觀都做的很假的
假防毒可以相提並論的！就它的外觀而言，做的幾乎跟真的一樣！


按小圖賞大圖









首先我要說的是我一開始分析的時候並不知道這是一個fake AntiVirus
因為它看起來真的超像一款真的防毒軟體，我是經過一連串的分析
到最後才發現它原來也是一款fake AntiVirus


我們先執行fake AntiVirus，啟動畫面會告訴你正在更新特徵庫
這裡並沒有任何會令HIPS軟體發出警告的可疑行為
而我覺得它可疑的地方在於它在此時並沒有提出聯網要求
意思就是表面上正在透過網路更新特徵碼，但實際上它並沒有聯網！




它啟動完就會自動開始掃瞄系統，與一般假防毒不同的是
它具備系統掃瞄功能！




只是沒多久它就掃完了，算是比較美中不足的地方，因為真的掃太快了一點
不過也很快的就掃到系統中所存在的威脅




這裡比較讓我驚訝的是這個fake AntiVirus它真的具備掃瞄功能
而不是像平常那種連掃瞄過程都是假的那種fake AntiVirus
它掃到的有些是亂報，亂報這部分我們可以很容易瞭解
但是其它也些被報的，這些卻是真正的威脅或灰色程式
不過我猜測，這是它把系統裡的檔案隨機亂報而來的！




掃瞄完後，如果你沒有理它，它會一直彈出這樣的一個視窗
提示你防毒軟體的保護功能沒有被開啟




然後有時候還會告訴你，在系統內發現了追蹤餅乾
如果要移除，必須取得全功能版！




如果你打算取得全功能版，你就會看到這樣的一個頁面
這裡它使用是系統最高級的最上層顯示！我猜測這是用來
擋住使用者本來就有的防毒軟體所提出的警告
用意在於讓受害者專心於付費購買全功能版
達到忽略自己防毒軟體所提出的警告！




這個fake AntiVirus到目前為止都沒有任何對系統不利的危險行為
它有的行為只是很單純的將自己加入啟動項目

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup

HKUS\S-1-5-21-796845957-1390067357-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup

而且這個fake AntiVirus居然還有微軟提供的數位簽章
由於這個fake AntiVirus沒有任何危險行為，所以KIS裡的危險指數為零
危險指數為零，這代表著什麼？代表著它比大部分的系統程式都要來的安分！




簡單的說它其實是一個客戶端版的釣魚程式！
當它出現前面已經看過的付款畫面時，它才開始要求聯網服務




目的IP為94.75.209.11，所在地區為荷蘭
不確定這是否為荷蘭的犯罪組織，或者只是單純的跳板而已




從這個樣本我們可以知道，不用老方法破壞系統，單純用詐騙的方式
其實也是有利可圖的，至少我也一度以為它是一款"真"的防毒軟體
整個過程可以說還瞞有意思的，雖然花了不少時間，但這個過程是值得的
至少我現在知道fake AntiVirus也隨著時代的進步而演進
其實如果一開始我就用"RAPID ANTIVIRUS"做關鍵字去Google一下
或許我就不用這麼忙了，因為這個fake AntiVirus現在在國外還挺有名的 (繼續閱讀...)

一個很老套的網路釣魚手法

網路上到處充斥著危險，釣魚網站以假亂真
有的時候自己也會遇到一些很難分辨真偽的網站
所以基本的網路安全知識多少是應該知道一些的！


今天在Google找資料的時候，無意間發現了一個釣魚網站
這個釣魚網站把自己做成一個線上掃瞄病毒的網站
一旦進入這個網站，便會開始假裝掃瞄你的系統
然後不用一會兒的時間，就會出現在你系統上掃瞄到病毒的提示
接著就會出現下載一個名為AVG 2009的假防毒軟體
當然，有些人在這個時候就上勾了！因為真的以為自己中毒了…

不過這種釣魚手法已經出現一兩年了，並不算新鮮
只是在Linux系統上看到這樣畫面的時候
你反而會覺得這釣魚網站還蠻蠢的XD

(繼續閱讀...)