雲爸的私處

雲爸的私處 > 軟體技術研討 > MIS技術 > 你的防毒軟體是真的嗎?深入了解FakeAV

你的防毒軟體是真的嗎?深入了解FakeAV

by

工作到了一半,突然出現了警告視窗,電腦中毒了嗎?!

TROJ_FAKEAV_ZZA_img21    

相信您曾經看過這樣的畫面,可是這些畫面似乎又跟自己安裝的防毒軟體好像不太一樣,這到底是怎麼一回事呢?

fakeav4  

事實上,這些警告訊息都只是偽裝的,看起來像是防毒軟體正在幫您掃描電腦,其實背後已經有真正的惡意程式悄悄的植入您的系統中,

FakeAV.doq_2  

偽裝的防毒軟體在近年來已成為一種趨勢,且絲毫沒有減退的現象,不管是網頁,電子郵件,甚至時下流行的社群網站如Twitter、Facebook等,都已經成為FakeAV散播的溫床.

想要預防這些偽裝的防毒軟體入侵您的電腦,您就必須要了解它的特性,我們將提供您一些小秘訣,讓您能夠很快的分辨出這些偽裝的防毒軟體.

感染FakeAV變種病毒後電腦會產生以下反應: 

1.桌面會跳出自動掃描的視窗,並有許多錯誤訊息出現 
2.桌面圖示全部消失 
3.開始功能表中的程式集消失 
4.檔案全部變成隱藏屬性 
5.工作管理員無法開啟 
6.我的電腦中看不到磁碟機 

秘訣1:真正的防毒軟體不會未經使用者同意即主動安裝並進行「掃描」這個動作.

過去我們曾經提到過,駭客會利用搜尋引擎導引使用者連結到Fakeav的網站,使用者可能會看到類似下面的畫面:

當使用者按下「OK」按鈕即允許同意惡意程式自動安裝在系統中並直接進行掃描.

真正的防毒軟體是不會用這種方式運作的,使用者對程式有控制權,在安裝與掃描惡意程式之前都會在使用者知情的情況下執行,不會自動安裝.倘若您的電腦裡有防毒軟體但您卻不記得曾經安裝過它,就可能是偽裝的防毒軟體.

秘訣2:現今的防毒軟體以不打擾使用者為目標

以前,防毒軟體有時候會讓使用者覺得困擾,尤其是在掃描到病毒的時候.但現在,許多合法的防毒軟體廠商改善了它們的使用介面,以不讓使用者感覺到麻煩為目標.

相反的,假的防毒軟體會不斷的顯示惱人的訊息來引起使用者的恐慌.以下是一些假的防毒軟體警示的畫面:

秘訣3:若您不斷的被提醒必須啟用這個產品,那有可能是假的防毒軟體.

新的FakeAV變種有看起來非常專業的使用介面,但是每個有用的功能都要求使用者要啟用軟體 後才能使用,這是因為它們的主要目的是在賺取金錢,最好的方法就是透過使用者啟用的方式.

另外一種常見的方式來分辨假的防毒軟體,真正的防毒軟體將會解決所有掃描到的威脅,而不會要求使用者先付費才做清除.而假的防毒軟體會要求使用者付費後才能獲得解決方案.

秘訣4:掃描引擎是您的好朋友

網路上有句話說:Everything is just a Google search away. 如果您覺得可疑,使用搜尋引擎搜尋相關資料並不會有造成甚麼損害.若您對您系統中防毒軟體的真偽有疑慮,請記下產品的名稱,若是真正的防毒軟體,您可以很快的找到合法的網頁.若搜尋的是假的防毒軟體,通常會找到其他使用者受到感染的報告.

秘訣5:我的系統被感染了,怎麼辦?

趨勢科技提供偵測且移除假的防毒軟體,專門清除假防毒軟體的免費工具:

FakeAV Remover

01

使用方法:

  1. 下載到暫存資料夾中執行解壓縮
  2. 執行FakeAVRemover.exe,會出現授權合約,請選擇「Accept」後按「Next」,即會出現下列視窗:
    若您想完整掃描系統中所有執行中的處理程序,請按「Scan All Processes」
  3. 若您只想掃描特定的處理程序,請按「Scan Selected Processes」,然後選擇您想掃描的處理程序並點選「Scan Now」
     
  4. 如果您看到系統出現很像FakeAV的畫面想要對它做掃描,可點選「Scan a Window」,將準心圖示拖曳至畫面上放開後即可進行掃描
  5. 會跳出掃描處理程序的畫面
  6. 當掃描程序結束,會列出所有跟這個畫面相關的處理程序與登錄值
  7. 選擇您未曾編輯或修改過的項目並點選「Clean」
  8. 若您不小心刪除到正常的檔案或登錄值,點選「Quarantine」標籤後,勾選您所要復原的項目並按「Restore」按鈕.

 

若您的電腦感染 Fake AV 後無法點選開始功能表或檔案總管執行 FakeAV Remover

請依照下列步驟執行:

  1. 使用快捷鍵 Windows 鍵(鍵盤上有 Windows 視窗符號的按鈕) + 英文字 R 鍵可開啟執行視窗
  2. 輸入 cmd 後按 Enter
  3. 在命令提示字元中輸入 ”%Programfiles%\Internet Explorer\iexplore.exe” 然後按 Enter
  4. 瀏覽器開啟後輸入下述網址
    http://solutionfile.trendmicro.com/solutionfile/EN-1056510/EN/svchost.exe
  5. 將檔案儲存到C:\ (Windows 7無法儲存至C:\,請改存放至其他暫存目錄)
  6. 回到命令提示字元視窗,輸入 C:\svchost.exe 並按 Enter
  7. 執行掃描或選擇需要掃描的處理程序進行清除與修復
  8. 在命令提示字元中依序輸入以下指令
    attrib –h c:\*.* /s /d
    attrib –h d:\*.* /s /d
    03  
  9. 打開以下路徑:
    C:\Documents and Settings\All Users\Application Data
    C:\ProgramData
    刪除可疑的亂碼程式,例如6DSS92c31Apgjk.exe和iXeCoRGTCNoNBmj.exe 
    02
  10. 下載修復登錄檔,解壓縮後執行restore_RET.1.reg ,重新開機後,即可恢復正常運作,收工





喜歡這篇文章的話,請幫這篇文章點個讚,或者到 雲爸的3C學園按個讚,快速得到最新的文章喔


有任何疑問,歡迎加入《3C問題互助團》社團這裡可以讓大家互相討論手機、電腦問題

不定時我也會在這邊舉辦抽獎,歡迎一起來聊聊

Reader Interactions

Comments

  1. 之前也遇到同樣問題,但網路察了好久都找不到方法,
    感謝雲爸提供解決辦法,下次再遇到能試試看。

    回覆

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *