新闻快讯
< >

注意!新型蓝屏诈骗技术来袭,Windows用户得小心

                注意!新型蓝屏诈骗技术来袭,Windows用户需小心-E安全

Malwarebytes安全研究员 Pieter Arntz最近发现了一款伪装成破解软件的恶意软件,但实质上是被用于布置骗局。

一旦计算机被感染,将显示一个虚假的BSOD(微软操作系统的经典蓝屏死机提示屏幕)。在稍后,还会显示一个伪装成“Windows疑难解答”的窗口。最后,此窗口将声明计算机无法修复,以阻止受害者继续使用Windows,并提示受害者使用PayPal(贝宝,一款在线付款工具)购买程序以修复“检测到的问题”并解锁屏幕。

感染从恶意软件的安装程序运行时开始,它将从网站hitechnovation.com下载各种可执行文件并将其保存在不同的文件夹中。然后,配置一个文件作为Windows服务,以便能够自动启动并修改某些注册表项以禁用各种热键。

多个文件及作用

csrvc.exe-将被下载并保存到%Temp%\csrvc,并会将被配置为Windows服务。用来终止各种进程,如任务管理器、注册表编辑器和资源管理器;

BSOD.exe-将被下载并保存到%Temp%\ csrvc,用于显示虚假的蓝屏死机提示屏幕;Troubleshoot.exe-将被下载并保存到%Temp%\ csrvc,用于显示虚假的Windows疑难解答工具;

Scshtrv.exe-将被下载并保存到%Temp%\ csrvc,用于将屏幕截图上传到远程FTP站点(182.50.132.48);Arntz表示,目前还不清楚这个屏幕截图会被用来干什么;

注意!新型蓝屏诈骗技术来袭,Windows用户需小心-E安全

adwizz.exe-将被下载并保存到C:\Program Files\adwizz,用于显示banggood.com网站的广告窗口。Arntz表示,这最有可能是该恶意软件的开发者的另外一种获利方式——为某些在线购物网站打广告。

文件执行过程

一旦恶意软件被下载并安装,BSOD.exe程序将在桌面上显示一个虚假的蓝屏死机提示屏幕。根据屏幕上的信息显示,指出system32.dll文件出现了异常,并会开始播放一遍又一遍令人心烦的嘟嘟声(如果你在使用计算机过程中遇到过真实的蓝屏死机情况就会知道,在蓝屏死机计算机就会发出这种声音)。

然后,Troubleshoot.exe程序将启动并显示一个名为“疑难解答Windows”的窗口,指出计算机缺少“.dll注册表文件”,并提示是否选择对计算机进行故障排除。

注意!新型蓝屏诈骗技术来袭,Windows用户需小心-E安全

如果选择继续,点击“下一步(Next)”,它会假装在执行扫描。并在扫描结束后,显示无法修复检测到的问题。并提示受害者可以选择“在线技术支持(Live Chat Support)”,在Arntz的测试中,并无实际作用;或选择使用PayPal购买“Windows Defender Essentials”。

注意!新型蓝屏诈骗技术来袭,Windows用户需小心-E安全

在点击“Buy Windows Defender Essentials”选项后,将打开一个PayPal页面,并提示受害者需要话费25美元来购买该程序。

根据Arntz的研究,打开的页面是lillysoft.it@gmail.com PayPal帐户,并使用以下网址:

https://www.paypal.com/cgi-bin/webscr?cmd=_s-xclick&hosted_button_id=DXKLEMZTGTTDY

注意!新型蓝屏诈骗技术来袭,Windows用户需小心-E安全

如果受害者付款,将被重定向到http://hitechnovation.com/thankyou.txt,其中包含字符串“thankuhitechnovation”。当Troubleshoot.exe检测到这个特定的字符串时,它会打开一个伪装成正在解决问题的新屏幕,并允许受害者关闭窗口。

注意!新型蓝屏诈骗技术来袭,Windows用户需小心-E安全

Arntz表示,Troubleshoot.exe显然只是一个屏幕保护程序,旨在欺骗受害者花25美元来“修复”所谓的问题。

免费解决方法

通过上面的描述我们可以得知,为了确定受害者是否已经通过PayPal进行了付款,Troubleshoot.exe将检查字符串“thankuhitechnovation”。

这也就成为了它的一个“弱点”。Arntz表示,可以通过一种手段来欺骗Troubleshoot.exe,让其误以为付款已经完成,进而可以关闭窗口。

在PayPal页面上,使用Ctrl+O键盘组合会打开一个对话框,询问用户要打开哪个页面,如下所示:

注意!新型蓝屏诈骗技术来袭,Windows用户需小心-E安全

这时候,可以选择进入类似http://hitechnovation.com/thankyou.txt这样的页面 ,只要其中包含有字符串“thankuhitechnovation”。这样,Troubleshoot.exe就会认为付款已经完成,并允许受害者关闭窗口。