你的防毒軟體是真的嗎？深入了解FakeAV

工作到了一半，突然出現了警告視窗，電腦中毒了嗎？！

   

相信您曾經看過這樣的畫面，可是這些畫面似乎又跟自己安裝的防毒軟體好像不太一樣，這到底是怎麼一回事呢？

 

事實上，這些警告訊息都只是偽裝的，看起來像是防毒軟體正在幫您掃描電腦，其實背後已經有真正的惡意程式悄悄的植入您的系統中，

 

偽裝的防毒軟體在近年來已成為一種趨勢，且絲毫沒有減退的現象，不管是網頁，電子郵件，甚至時下流行的社群網站如Twitter、Facebook等，都已經成為FakeAV散播的溫床．

想要預防這些偽裝的防毒軟體入侵您的電腦，您就必須要了解它的特性，我們將提供您一些小秘訣，讓您能夠很快的分辨出這些偽裝的防毒軟體．

感染FakeAV變種病毒後電腦會產生以下反應： 

1.桌面會跳出自動掃描的視窗，並有許多錯誤訊息出現 
2.桌面圖示全部消失 
3.開始功能表中的程式集消失 
4.檔案全部變成隱藏屬性 
5.工作管理員無法開啟 
6.我的電腦中看不到磁碟機 

秘訣1：真正的防毒軟體不會未經使用者同意即主動安裝並進行「掃描」這個動作．

過去我們曾經提到過，駭客會利用搜尋引擎導引使用者連結到Fakeav的網站，使用者可能會看到類似下面的畫面：

當使用者按下「OK」按鈕即允許同意惡意程式自動安裝在系統中並直接進行掃描．

真正的防毒軟體是不會用這種方式運作的，使用者對程式有控制權，在安裝與掃描惡意程式之前都會在使用者知情的情況下執行，不會自動安裝．倘若您的電腦裡有防毒軟體但您卻不記得曾經安裝過它，就可能是偽裝的防毒軟體．

秘訣2：現今的防毒軟體以不打擾使用者為目標

以前，防毒軟體有時候會讓使用者覺得困擾，尤其是在掃描到病毒的時候．但現在，許多合法的防毒軟體廠商改善了它們的使用介面，以不讓使用者感覺到麻煩為目標．

相反的，假的防毒軟體會不斷的顯示惱人的訊息來引起使用者的恐慌．以下是一些假的防毒軟體警示的畫面：

秘訣3：若您不斷的被提醒必須啟用這個產品，那有可能是假的防毒軟體．

新的FakeAV變種有看起來非常專業的使用介面，但是每個有用的功能都要求使用者要啟用軟體 後才能使用，這是因為它們的主要目的是在賺取金錢，最好的方法就是透過使用者啟用的方式．

另外一種常見的方式來分辨假的防毒軟體，真正的防毒軟體將會解決所有掃描到的威脅，而不會要求使用者先付費才做清除．而假的防毒軟體會要求使用者付費後才能獲得解決方案．

秘訣4：掃描引擎是您的好朋友

網路上有句話說：Everything is just a Google search away. 如果您覺得可疑，使用搜尋引擎搜尋相關資料並不會有造成甚麼損害．若您對您系統中防毒軟體的真偽有疑慮，請記下產品的名稱，若是真正的防毒軟體，您可以很快的找到合法的網頁．若搜尋的是假的防毒軟體，通常會找到其他使用者受到感染的報告．

秘訣5：我的系統被感染了，怎麼辦？

趨勢科技提供偵測且移除假的防毒軟體，專門清除假防毒軟體的免費工具：

FakeAV Remover

使用方法：

0. 下載到暫存資料夾中執行解壓縮
0. 執行FakeAVRemover.exe，會出現授權合約，請選擇「Accept」後按「Next」，即會出現下列視窗：
   若您想完整掃描系統中所有執行中的處理程序，請按「Scan All Processes」
0. 若您只想掃描特定的處理程序，請按「Scan Selected Processes」，然後選擇您想掃描的處理程序並點選「Scan Now」
    
0. 如果您看到系統出現很像FakeAV的畫面想要對它做掃描，可點選「Scan a Window」，將準心圖示拖曳至畫面上放開後即可進行掃描
0. 會跳出掃描處理程序的畫面
0. 當掃描程序結束，會列出所有跟這個畫面相關的處理程序與登錄值
0. 選擇您未曾編輯或修改過的項目並點選「Clean」
0. 若您不小心刪除到正常的檔案或登錄值，點選「Quarantine」標籤後，勾選您所要復原的項目並按「Restore」按鈕．

 

若您的電腦感染 Fake AV 後無法點選開始功能表或檔案總管執行 FakeAV Remover

請依照下列步驟執行：

0. 使用快捷鍵 Windows 鍵（鍵盤上有 Windows 視窗符號的按鈕） + 英文字 R 鍵可開啟執行視窗
0. 輸入 cmd 後按 Enter
0. 在命令提示字元中輸入 ”%Programfiles%\Internet Explorer\iexplore.exe” 然後按 Enter
0. 瀏覽器開啟後輸入下述網址
   http://solutionfile.trendmicro.com/solutionfile/EN-1056510/EN/svchost.exe
0. 將檔案儲存到C:\ （Windows 7無法儲存至C:\，請改存放至其他暫存目錄）
0. 回到命令提示字元視窗，輸入 C:\svchost.exe 並按 Enter
0. 執行掃描或選擇需要掃描的處理程序進行清除與修復
0. 在命令提示字元中依序輸入以下指令
   attrib –h c:\*.* /s /d
   attrib –h d:\*.* /s /d
     
0. 打開以下路徑：
   C:\Documents and Settings\All Users\Application Data
   C:\ProgramData
   刪除可疑的亂碼程式，例如6DSS92c31Apgjk.exe和iXeCoRGTCNoNBmj.exe 
   
0. 下載修復登錄檔，解壓縮後執行restore_RET.1.reg ，重新開機後，即可恢復正常運作，收工