一些流行的假安全软件 - 第1部分

tipsmake.com- 假安全软件术语 - 流氓安全软件是恶意软件的恶意程序，在感染受害者系统后，应用程序将显示错误的信息。偏离当前的安全情况并吸引用户花钱购买这些假软件的版权。在过去的几年中，捕获此陷阱的用户数量正在增加，尤其是对于桌面用户而言。以下是当今一些流行的虚假程序的字母顺序列表：

1。A-FAST抗病毒软件

作为一个非常危险且容易传播的虚假安全程序，当成功安装在受害者计算机上时，该程序将继续扫描整个注册表密钥，并不断显示有关该病毒的虚假信息。在系统上检测到木马和蠕虫。这些消息只有在用户购买版权时就会消失。

在使用标准Windows工具删除A-FAST防病毒软件之前，请在以下激活代码中注册软件的许可证：

B0B302F772
C197C46C46
B20C1467B7
041E4B235A
25CCCC7329
9926220EED
A58C19D33
C15F2FF276
F61E370D62
ddad6a7a2c
9F8122FE00
3754DD9DA6
3DC52EA100
EE73BBFA6
7E61C9C7DF
EE34D2E8A7
A619731
9D2510E3E8

安装时，A-FAST防病毒将将以下文件复制到硬盘驱动器：

％userProfile％本地设置应用数据[随机字符]
％userProfile％本地设置应用数据[随机字符] [随机字符] tssd.exe

并初始化注册表中的以下键：

hkey_current_usersoftwarea-fast
hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciessystem“ dosabletaskmgr” =“ 1”
hkey_current_usersoftwaremicrosoftwindowscurrentversionrun“ fast”
HKEY_LOCAL_MACHINESYSTEMCONTROLSET001ServicessHaredAccessParametersFireWall
PromistantardProfileauthorizedApplicationsList“ C：Program filesa-fasta-fast.exe”

程序的主屏幕：

2。AKM防病毒2010 Pro

与A-FAST防病毒类似，AKM Antivirus 2010 Pro具有非常快速的性能和感染模式。该程序也称为您的PC保护器。

在受害者的计算机系统上安装时，AKM Antivirus 2010 Pro将将以下文件复制到硬盘驱动器：

％userProfile％desktopakm Antivirus 2010 Pro.lnk
％userProfile％启动MenUprogramsakm Antivirus 2010 Pro
％userProfile％开始menuprogramsakm antivirus 2010 Proakm Antivirus 2010 Pro.lnk
C：Program fileadc32.dll
C：程序filesalggui.exe
C：program filesnuar.old
C：filesskynet.dat程序
C：程序FILESSVCHOST.EXE
C：Program Fileswp3.dat
C：Program fileswp4.dat
C：Program FilesWpp.exe
C：程序filesakm防病毒2010 Pro
C：Program Filesakm Antivirus 2010 Proakm Antivirus 2010 Pro.exe
％temp％win1.tmp
％温度％win2.tmp

并继续创建以下注册表密钥：

HKEY_CURRENT_USERSOFTWAREAKM ANTIVIRUS 2010 PRO

应用程序主屏幕：

---

3。apcsafe

就像上面的两个程序一样，APCSAFE（也称为PC Safe）也是Rogue安全软件的一种形式。但是，这里有一些不同的差异可以支持用户对系统保护的“很少”。实际上，APCSAFE是Winisoft系列的新变体，APCSAFE的主要“作者”也会产生以下变体：

APcSecure, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcsProtector, GreatDefender, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SiteVillain, LinkSafeness, SecureKeeper, AntiAID, System Warrior, System Veteran, System Fighter, Block Protector, Block Keeper, Block Scanner, Block Watcher, SoftBarrier, Shield Safeness, Soft Stronghold, Soft Veteran, SoftCop, Soft Soldier, Trust Fighter, Soldier Trust, Safe Fighter, Trust Cop, Secure Warrior, Secure Fighter, Secure Veteran, Security Soldier, Security Fighter, Save Armor, Save Defender, Trust Warrior, Soft Safeness, Safety Keeper, Save Keeper, Quick Heal Cleaner, System Cop, Block Defense, Save国防，信任忍者，拯救士兵，拯救保留，Winishield，Wini Fighter，Winibluesoft。

成功安装受害者的计算机后，APCSAFE将生成一定数量的具有不同尺寸和名称的空文件。在审查时，APCSAFE将自动检测那些恶意的文件，对系统有害，并要求用户购买该程序的全部许可。

确切地说，APCSAFE会将以下文件复制到硬盘驱动器：

％programFiles％apcsafe softwareapcsafcsafe.exe
％programFiles％apcsafe softwareapcsafemain_config.xml
％programFiles％apcsafe softwareapcsafeuninstall.exe
％AllusersProfile％desktopapcsafe.lnk
％AlluserSprofile％启动MenUprogramsapcsafe1 apcsafe.lnk
％AlluserSprofile％启动MenUprogramsafe2 homepage.lnk
％AlluserSprofile％启动menuprogramsapcsafe3 uninstall.lnk

以及以下注册表键：

hkey_local_machinesoftwareapcsafe
hkey_local_machinesoftwaremicrosoftwindowscurrentversionuninstallapcsafe
hkey_current_usersoftwareapcsafe
hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun，'apcsafe'
hkey_current_usersoftwaremicrosoftwindowscurrentversionrun，'apcsafe'

APCSAFE的主要接口：

4。apcsecure

具有与APCSAFE相同的功能和结构，该程序通过网站www.apsecure.com传播（此地址不再可用）。 APCSecure是Winiguard / Winisoft系列的新变体，此外，还有其他类型，例如：

ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, Protected, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop，Securekeeper，Linksafeness，AntiaId，SystemFetrighter，SystemsVeteran，BlockProtector，BlockSeper，Blockscanner，Blockwatcher，Softstronghold，ShieldSafeness，Seftsafeness，Softveteran，SoftSoldier，SoftCop，Softcop，Trustfighter，Trustfighter，TrustssssSoltier，Safefighter，Safeefighter，Secureveteran，Secureveteran。

像APCSAFE一样，当成功安装在受害者计算机上时，APCSecure将自动生成带有不同名称的一个空文件。进行审核时，APCSecure将自动检测正确的文件，并要求用户购买许可证以删除上述文件。

APCSecure将将以下文件复制到系统驱动器：

％programFiles％apcsecure softwareapcsecureapcsecure.exe
％programFiles％apcsecure softwareapcsecuremain_config.xml
％programFiles％apcsecure softwareapcsecureuninstall.exe
％AllusersProfile％desktopapcsecure.lnk
％AlluserSprofile％启动menuprogramsapsecure1 apcsecure.lnk
％AlluserSprofile％启动menuprogramsapcsecure2 homepage.lnk
％AlluserSprofile％启动MenUprogramsapcsecure3 uninstall.lnk

以及以下注册表键：

hkey_local_machinesoftwareapcsecure
hkey_local_machinesoftwaremicrosoftwindowscurrentversionuninstallapcsecure
hkey_current_usersoftwareapcsecure hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun，'apcsecure'
hkey_current_usersoftwaremicrosoftwindowscurrentversionrun，'apcsecure'

该程序的一些图片：

---

5。抗柔软软件软

当成功渗透并安装在受害者计算机上时，Antispyware Soft将不断发出有关系统中检测到的病毒，特洛伊木马和蠕虫的警告消息，用户将无法删除或禁用信息。除非购买程序的许可证或激活密钥，否则此信息。

在安装过程中，Antispyware Soft会将以下文件复制到硬盘驱动器：

％文档和设置％[用户名]本地设置申请数据[随机字符] [随机字符] tssd.exe

还可以创建以下注册表密钥：

hkey_current_usersoftwareavscan
hkey_current_usersoftwaremicrosoftwindowscurrentversionrun'[随机字符]'
hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun'[随机字符]'
hkey_current_usersoftwareavsoft
hkey_current_usersoftwareavsuite
hkey_local_machinesoftwareavsoft
hkey_local_machinesoftwareavsuite
hkey_current_usersoftwaremicrosoftinternet explorerDownload“ runinvalidSignatures” =“ 1”
hkey_current_usersoftwaremicrosoftwindowscurrentversionInternet设置“ proxyoverride” =“”
hkey_current_usersoftwaremicrosoftwindowscurrentversionInternet设置“ ProxyServer” =“ http = 127.0.0.1：5555”
hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesassociations“ lowriskfiletypes” =“ .exe”
hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesattachments“ savezoneInformation” =“ 1”

程序的主要接口：

6。安提维尔解决方案Pro

像所有这些恶意程序一样，Antivir Solution Pro巧妙地将其伪装成合法的安全软件，使用户易于信任并始终使用它。该程序可通过https://antispybox.com/和相关链接广泛使用。这也是Avsecurity Suite，Antivirus Suite和Antivirus Soft的一种自我复制形式。当审核过程开始时，用户将不断收到有关系统“愤怒”的病毒，特洛伊木马和蠕虫的警告，并且仅在用户购买键时才进行植根处理。计划活动。

安装到系统中时，Antivir Solution Pro会将以下可执行文件复制到硬盘驱动器：

％userProfile％本地设置申请数据％随机%%随机％.exe

并创建以下注册表键：

hkey_local_machinesoftwareavsolution
hkey_local_machinesoftwareavsuite
hkey_current_usersoftwareavsolution
hkey_current_usersoftwareavsuite
hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun，“％随机％”
hkey_current_usersoftwaremicrosoftwindowscurrentversionrun，“％随机％”
hkey_current_usersoftwaremicrosoftwindowscurrentversionInternet设置
ProxyServer = http = 127.0.0.1：5643
perxyoverride =
hkey_current_usersoftwaremicrosoftinternet explorerphiserphisherfelter
启用V8 = 0×00000000（0）
启用= 0×00000000（0）

该程序的一些图片：

---

7。抗病毒软件

A very generic name - Antivirus, this program has something very similar to APcSafe and ApcSecure, the main source of infection of this malicious application is the website www.just-protect-pc.info (address This is no longer available. The way to infect and operate is not changed, the warnings about viruses, Trojans and worms discovered on the system are continuously sent to users.

在安装过程中，防病毒软件将将此文件复制到系统驱动器：

％programFiles％antivirusavbho.dll
％programFiles％antivirusuninstall.exe
％programFiles％antiviruswscsvc32.exe
％programFiles％antivirusantivivirus.exe
％AllusersProfile％desktopantivivirus.lnk
％aLLUSERSPROFILE％启动menuprogramsantivivivivirus.lnk
％AlluserSprofile％启动MenUprogramsantivirusuninstall.lnk
％userProfile％应用程序datamicrosoftinternet explorerquick启动AntaTantivirus.lnk
％userProfile％local设置系统pwinupd64x.exe

并创建以下注册表键：

hkey_local_machinesoftwareantivirus
hkey_local_machinesoftwareclassesavbho.avbhoapp
hkey_local_machinesoftwareclassesavbho.avbhoappclsid
hkey_local_machinesoftwareclassesavbho.avbhoappcurver
hkey_local_machinesoftwareclassesavbho.avbhoapp.1
hkey_local_machinesoftwareclassesavbho.avbhoapp.1clsid
HKEY_LOCAL_MACHINESOFTWARECLESESCLSID {9D541C6A-573B-4888B35E-6816E68C3620}
HKEY_LOCAL_MACHINESOFTWARECLESESCLSCLSID {9D541C6A-573B-488888B35E-6816E68C3620} InProcserver32
HKEY_LOCAL_MACHINESOFTWARECLESESCLSCLSID {9D541C6A-573B-4888B35E-6816E-6816E68C3620} PROGID
HKEY_LOCAL_MACHINESOFTWARECLESESCLSCLSID {9D541C6A-573B-488888888B35E-6816E68C3620}
HKEY_LOCAL_MACHINESOFTWARECLESESCLSID {9D541C6A-573B-48888888B35E-6816E68C3620} TYPELIB
HKEY_LOCAL_MACHINESOFTWARECLESESCLSID {9D541C6A-573B-488888B35E-6816E68C3620} version-Intignpertententprogid
hkey_local_machinesoftwareclassesinterface {967a494a-6Aec-455555555555555555555555555555-91}
hkey_local_machinesoftwareclassesinterface {967a494a-6aec-45555555555555555-9CAF-FA6EB00ACF91} proxystubclsid
hkey_local_machinesoftwareclassesinterface {967a494a-6aec-45555555555555555-9CAF-FA6EB00ACF91} PROXYSTUBCLSID32
hkey_local_machinesoftwareclassesinterface {967A494A-6AEC-45555-9CAF-FA6EB00ACF91} TYPELIB
hkey_local_machinesoftwareclassesinterface {9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}
hkey_local_machinesoftwareclassesinterface {9692be2f-eb8f-49d9-a11c-c24c1ef734d5} proxystubclsid
hkey_local_machinesoftwareclassesinterface {9692be2f-eb8f-49d9-a11c-c24c1ef734d5} proxystubclsid32
hkey_local_machinesoftwareclassesinterface {9692be2f-eb8f-49d9-a11c-c24c1ef734d5} typelib
HKEY_LOCAL_MACHINESOFTWARECLASSESTYPELIB {65DA0CE6-​​30D1-4144-A0B6-59BD01372E26}
HKEY_LOCAL_MACHINESOFTWARECLASSESTYPELIB {65DA0CE6-​​30D1-4144-A0B6-59BD01372E26} 1.0
HKEY_LOCAL_MACHINESOFTWARECLASSESTYPELIB {65DA0CE6-​​30D1-4144-A0B6-59BD01372E26} 1.0
HKEY_LOCAL_MACHINESOFTWARECLASSESTYPELIB {65DA0CE6-​​30D1-4144-A0B6-59BD01372E26} 1.0WIN32
HKEY_LOCAL_MACHINESOFTWARECLASSESTYPELIB {65DA0CE6-​​30D1-4144-A0B6-59BD01372E26} 1.0FLAGS
HKEY_LOCAL_MACHINESOFTWARECLASSESTYPELIB {65DA0CE6-​​30D1-4144-A0B6-59BD01372E26} 1.0HELPDIR
hkey_local_machinesoftwaremicrosoftwindowscurrentversionexplorerbrowerbrowser helper helper oberpers {9D541C6A-573B-4888B-4888B35E-6816E68C3620}
hkey_local_machinesoftwaremicrosoftwindowscurrentversionuninstallantivivirus
hkey_current_usersoftwaremicrosoftwindowscurrentversionrun，'antivirus.exe'
hkey_current_usersoftwaremicrosoftwindowscurrentversionrun，'wscsvc32.exe'

该程序的一些图片：

8。防病毒7

与假程序防病毒软件不同，Antivirus 7将在系统启动期间自动创建其可执行文件，因此，每次用户都会看到Antivirus 7的接口快速出现，然后关闭。扫描时，防病毒7总是在系统目录中检测到病毒和其他恶意类型（C：Windows和c：WindowsSystem32）。当用户同意购买许可证以删除上述检测到的恶意文件时，Antivirus 7将继续传播到系统上的其他文件夹（以及本地网络上的其他计算机），而随附的Trojan不断下载Antivirus 7的其他变体从Internet下载。

防病毒7将自动将以下文件复制到硬盘驱动器：

％文档和设置％所有用户start Menav7
％文档和设置％所有用户start Menav7antivirus7.lnk
％文档和设置％所有用户start Menav7uninstall.lnk
％程序文件％av7
％程序文件％av7antivirus7.exe
％Windows％SoftWaredistributionDatastorElogStmp.Edb
％Windows％System32UpDateExplorer.dll
％userProfile％desktopantivirus7.lnk

并创建以下注册表键：

HKEY_CURRENT_USERSOFTWAREEVA246
HKEY_CLASSES_ROOTCLSID {E2BFE352-A303-4EA8-88FE-CE35361D7E8B}
hkey_local_machinesoftwaremicrosoftwindowscurrentversionexplorerBrowerBrowser helper helper对象{E2BFE352-A303-4EA8-88-88FE-CE35361D7E8B}
hkey_current_usersoftwaremicrosoftwindowscurrentversionrun“ av7”
hkey_local_machinesoftwaremicrosoftwindowscurrentversionInternet settings5.0user代理post平台“ winnt-evi 12.03.2010”

---

9。抗病毒病

如果与上述应用相比，则可以将抗病毒作用视为抗病毒的完整副本。当审查过程开始时，Antivirusgt将创建和检测有关病毒，特洛伊木马和蠕虫状态和数量的错误消息。

成功安装受害者的计算机后，Antivirusgt将自动将以下文件复制到硬盘驱动器：

％programFiles％avgtantivirusgt.exe
％Alluser profile％开始菜单菜单
％aLLUSSER个人资料％开始菜单菜单
％userProfile％desktopantivirusgt.lnk

并创建以下注册表键：

HKEY_CURRENT_USERSOFTWAREEVA50C
hkey_current_usersoftwarewinv2
hkey_current_usersoftwaremicrosoftwindowscurrentversionrun，“ avgt”

该程序的一些图片：

10。抗病毒软

Antivirus Soft也被列为Rogue Security软件 - 假安全软件，当巧妙地伪装成缺乏经验的用户的最安全应用程序之一，例如病毒扫描或注册表审查。传播此恶意应用程序的起源是网站www.newsoftspot.com（此地址不再存在）。就像上面列出的所有伪造软件一样，跑步时的防病毒软软件会不断显示有关病毒，特洛伊木马和蠕虫的虚假消息。如果用户不购买激活密钥，则不会关闭这些烦人的通知。

安装到系统中时，Antivirus Soft会将以下文件复制到硬盘驱动器：

％userProfile％本地设置申请数据％随机%%随机％sftav.exe

以及以下注册表键：

hkey_current_usersoftwareavsoft
hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun，％随机％
hkey_current_usersoftwaremicrosoftwindowscurrentversionrun，％随机％

抗病毒软件软的一些图像：

---

11。防病毒套件

Antivirus Suite-过去一直是当今最快，最强大的点差之一。对于那些不警惕或很少经验的用户。当防病毒套件起作用时，该程序将仅显示有关系统中检测到的病毒，特洛伊人和蠕虫的虚假消息。只有当用户购买许可证或激活密钥时，这些消息才会消失。

安装后，Antivirus Suite将将以下文件复制到系统驱动器：

％userProfile％本地设置应用数据[随机字符]
％userProfile％本地设置应用数据[随机字符] [随机字符] tssd.exe

还可以创建以下注册表密钥：

hkey_current_usersoftwareavsuite
hkey_local_machinesoftwareavsuite
hkey_current_usersoftwaremicrosoftinternet explorerDownload“ runinvalidSignatures” =“ 1”
hkey_current_usersoftwaremicrosoftwindowscurrentversionInternet设置“ proxyoverride” =”
hkey_current_usersoftwaremicrosoftwindowscurrentversionInternet设置“ ProxyServer” =“ http = 127.0.0.1：5555”
hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesassociations“ lowriskfiletypes” =“ .exe”
hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesattachments“ savezoneInformation” =“ 1”
hkey_current_usersoftwaremicrosoftwindowscurrentversionrun“”
hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun“”
hkey_current_usersoftwaremicrosoftinternet explorerDownload“ checkexesignatures” =“ no”
hkey_current_usersoftwaremicrosoftwindowscurrentversionInternet设置“可靠性” =“ 1”

程序的主要接口：

12。Belledfender

实际上，这是一个恶意恶意程序，安装后，它将继续以音频或视频编解码器包的形式将其“致电特洛伊木马”到受害者的计算机上 - 当然也是假的。成功安装后，BytedEfender将在系统上不断执行扫描，并显示有关计算机安全状态的完全误导信息。此过程的主要目的是“吸引”用户单击广告链接或购买全部许可以使用BydedeFender的完整功能。

Byte Defender本质上是Winiguard / Winisoft的新变体，该变体在计算机系统上伪装成安全可靠的应用程序，类似于病毒扫描或系统注册表应用程序（或统称为Rogue Security Security软件）。同时，它还创建了以下伪造软件变体：

PcsSecure, APcSafe, APcSecure, ProtectSoldier, ProtectDefender, ArmorDefender, DefendAPc, SysDefenders, InSysSecure, SysProtector, APcDefender, PcProtectar, PcsProtector, GreatDefender, APCProtect, ProtectPcs, SysDefence, TheDefend, GuardPcs, IGuardPc, SiteAdware, AntiTroy, AntiKeep, AntiAdd, RESpyWare, REAnti, KeepCop, SecureKeeper, LinkSafeness, AntiAid, SystemFighter, SystemVeteran, BlockProtector, BlockKeeper, BlockScanner, BlockWatcher, SoftStronghold, ShieldSafeness, SoftVeteran, SoftSoldier, SoftCop, TrustFighter, TrustSoldier, SafeFighter, SecureVeteran.

在系统上安装了字节辩护人之后，此应用程序将自动生成带有许多不同名称的冗余文件。当用户启用完整的系统扫描时，Byte Defender将在正式创建这些恶意文件之前不断创建较早的病毒，特洛伊木马和蠕虫警告消息。同时，除非用户购买程序的许可，否则这些消息将永远不会消失。

在安装过程中，Byte Defender会将以下文件复制到硬盘驱动器：

％programFiles％bytedefender SoftwareBytedEfenderBydedEfender.exe
％programFiles％bytedefender SoftwareBytedEfenderunInstall.exe
％programFiles％bytedefender SoftwareBytedEfenderalways_delete.xml
％programFiles％bytedefender SoftwareBytedEfenderalways_skip.xml
％programFiles％bytedefender SoftwareBytedEfenderQuarantineQuarantine.xml
％AllusersProfile％启动MenUprogramsssbytedefender.lnk
％userProfile％desktopbydedefender.lnk

并继续在注册表系统中创建以下键：

hkey_local_machinesoftwarebydedefender
hkey_local_machinesoftwaremicrosoftwindowscurrentversionuninstallbytydefender
hkey_current_usersoftwarebydedefender
hkey_current_usersoftwarebydedefenderagents
hkey_current_usersoftwarebytedefendergeneral
HKEY_CURRENT_USERSOFTWAREBYDEFEDEFENERELTIME
HKEY_CURRENT_USERSOFTWAREBYDEFEDEFENDERSCANNER
hkey_current_usersoftwarebydedefendertasks
hkey_current_usersoftwarebydedefendertasks
HKEY_CURRENT_USERSOFTWAREBYDEFEDEFENDERTASKS1
hkey_current_usersoftwarebytedefenderupdates
hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun，“ bytedefender”
hkey_current_usersoftwaremicrosoftwindowscurrentversionrun，“ bytedefender”。