注意!新型藍(lán)屏詐騙技術來襲,Windows用戶得小(xiǎo)心

發布日期:2017-12-01首頁 > 安全資(zī)訊

                注意!新型藍(lán)屏詐騙技術來襲,Windows用戶需小(xiǎo)心-E安全

Malwarebytes安全研究員(yuán) Pieter Arntz最近發現了一(yī)款僞裝成破解軟件的惡意軟件,但實質上是被用于布置騙局。

一(yī)旦計算機被感染,将顯示一(yī)個虛假的BSOD(微軟操作系統的經典藍(lán)屏死機提示屏幕)。在稍後,還會顯示一(yī)個僞裝成“Windows疑難解答”的窗口。最後,此窗口将聲明計算機無法修複,以阻止受害者繼續使用Windows,并提示受害者使用PayPal(貝寶,一(yī)款在線付款工(gōng)具)購買程序以修複“檢測到的問題”并解鎖屏幕。

感染從惡意軟件的安裝程序運行時開(kāi)始,它将從網站hitechnovation.com下(xià)載各種可執行文件并将其保存在不同的文件夾中(zhōng)。然後,配置一(yī)個文件作爲Windows服務,以便能夠自動啓動并修改某些注冊表項以禁用各種熱鍵。

多個文件及作用

csrvc.exe-将被下(xià)載并保存到%Temp%\csrvc,并會将被配置爲Windows服務。用來終止各種進程,如任務管理器、注冊表編輯器和資(zī)源管理器;

BSOD.exe-将被下(xià)載并保存到%Temp%\ csrvc,用于顯示虛假的藍(lán)屏死機提示屏幕;Troubleshoot.exe-将被下(xià)載并保存到%Temp%\ csrvc,用于顯示虛假的Windows疑難解答工(gōng)具;

Scshtrv.exe-将被下(xià)載并保存到%Temp%\ csrvc,用于将屏幕截圖上傳到遠程FTP站點(182.50.132.48);Arntz表示,目前還不清楚這個屏幕截圖會被用來幹什麽;

注意!新型藍(lán)屏詐騙技術來襲,Windows用戶需小(xiǎo)心-E安全

adwizz.exe-将被下(xià)載并保存到C:\Program Files\adwizz,用于顯示banggood.com網站的廣告窗口。Arntz表示,這最有可能是該惡意軟件的開(kāi)發者的另外(wài)一(yī)種獲利方式——爲某些在線購物(wù)網站打廣告。

文件執行過程

一(yī)旦惡意軟件被下(xià)載并安裝,BSOD.exe程序将在桌面上顯示一(yī)個虛假的藍(lán)屏死機提示屏幕。根據屏幕上的信息顯示,指出system32.dll文件出現了異常,并會開(kāi)始播放(fàng)一(yī)遍又(yòu)一(yī)遍令人心煩的嘟嘟聲(如果你在使用計算機過程中(zhōng)遇到過真實的藍(lán)屏死機情況就會知(zhī)道,在藍(lán)屏死機計算機就會發出這種聲音)。

然後,Troubleshoot.exe程序将啓動并顯示一(yī)個名爲“疑難解答Windows”的窗口,指出計算機缺少“.dll注冊表文件”,并提示是否選擇對計算機進行故障排除。

注意!新型藍(lán)屏詐騙技術來襲,Windows用戶需小(xiǎo)心-E安全

如果選擇繼續,點擊“下(xià)一(yī)步(Next)”,它會假裝在執行掃描。并在掃描結束後,顯示無法修複檢測到的問題。并提示受害者可以選擇“在線技術支持(Live Chat Support)”,在Arntz的測試中(zhōng),并無實際作用;或選擇使用PayPal購買“Windows Defender Essentials”。

注意!新型藍(lán)屏詐騙技術來襲,Windows用戶需小(xiǎo)心-E安全

在點擊“Buy Windows Defender Essentials”選項後,将打開(kāi)一(yī)個PayPal頁面,并提示受害者需要話(huà)費(fèi)25美元來購買該程序。

根據Arntz的研究,打開(kāi)的頁面是lillysoft.it@gmail.com PayPal帳戶,并使用以下(xià)網址:

https://www.paypal.com/cgi-bin/webscr?cmd=_s-xclick&hosted_button_id=DXKLEMZTGTTDY

注意!新型藍(lán)屏詐騙技術來襲,Windows用戶需小(xiǎo)心-E安全

如果受害者付款,将被重定向到http://hitechnovation.com/thankyou.txt,其中(zhōng)包含字符串“thankuhitechnovation”。當Troubleshoot.exe檢測到這個特定的字符串時,它會打開(kāi)一(yī)個僞裝成正在解決問題的新屏幕,并允許受害者關閉窗口。

注意!新型藍(lán)屏詐騙技術來襲,Windows用戶需小(xiǎo)心-E安全

Arntz表示,Troubleshoot.exe顯然隻是一(yī)個屏幕保護程序,旨在欺騙受害者花25美元來“修複”所謂的問題。

免費(fèi)解決方法

通過上面的描述我(wǒ)們可以得知(zhī),爲了确定受害者是否已經通過PayPal進行了付款,Troubleshoot.exe将檢查字符串“thankuhitechnovation”。

這也就成爲了它的一(yī)個“弱點”。Arntz表示,可以通過一(yī)種手段來欺騙Troubleshoot.exe,讓其誤以爲付款已經完成,進而可以關閉窗口。

在PayPal頁面上,使用Ctrl+O鍵盤組合會打開(kāi)一(yī)個對話(huà)框,詢問用戶要打開(kāi)哪個頁面,如下(xià)所示:

注意!新型藍(lán)屏詐騙技術來襲,Windows用戶需小(xiǎo)心-E安全

這時候,可以選擇進入類似http://hitechnovation.com/thankyou.txt這樣的頁面 ,隻要其中(zhōng)包含有字符串“thankuhitechnovation”。這樣,Troubleshoot.exe就會認爲付款已經完成,并允許受害者關閉窗口。