[資訊安全] HDD plus、WindowsRecovery、MS Removal Tool !? 是的，你中毒了，猖獗的惡意程式 Fake AV ( 假防毒 )

近日 MS Removal Tool、XP security 2012 之類的假防毒軟體、假安全工具持續猖獗，MAC OS 也是。
Fake AV 是惡意軟體 Malware 的一種，基本上和病毒 Virus  不同。
粗略而言，防毒程式會把惡意程式歸類在病毒裡，但是連知名防毒軟體也不一定能成功清除。

根據經驗，要掃描並解除惡意程式、木馬、蠕蟲、後門、間諜程式等，推薦使用 Malwarebytes' Anti-Malware ，移除成功率在同類軟體中很高。

此 Fake AV 事件從2010年就有看過， Google及Microsoft的兩大廣告平台遭掛馬利用散播惡意軟件
(作者: Chris Hsiao, NightCola Lin, Wayne Huang, Caleb Sima, Fyodor Yarochkin)
2010/12/14 by 阿碼外傳－阿碼科技非官方中文 Blog

而守法的電腦使用者還是會中 Fake AV ( Malware )，就算每個月都有修補微軟漏洞、安裝 hotfix、更新與掃描防毒程式，不亂下載安裝來路不明的軟體，依然會被感染。
簡單的說，使用者搜尋資料、瀏覽到有問題的網頁或廣告時，埋下了 Malware 種子

例如 WindowsRecovery 這個 Fake AV 筆記一下ψ(._. )>
2011.04.11 個人經驗，Efix修復無效，安全模式修復無效，
Symantec Endpoint Protection 11 防毒軟體掃描無效，
安裝執行檔無效，不能安裝新的 Anti-Virus 和 Anti-Malware，command line 可執行。

Fake AV 可能會先假裝讓系統變慢，
接著出現類似 Windows 系統的錯誤訊息 Hard Drive Failure，
不過實際上硬碟/排線是沒有問題的。


經過一段時間，可能是幾小時後、幾天後、或是重新開機後，
會跳出假裝磁碟掃描、假裝貼心提醒系統有一些問題需要修復，這也是假的，
然後要使用者購買它的軟體、輸入信用卡等相關資料，等等 !!! 不要衝動啊 !!!
尤其這些假防毒介面做得很精美，很像作業系統內建的程式，甚至比一些知名防毒軟體還要"親和"

此時桌面C槽的東西還看得到，等到使用者以為圖中的 WindowsRecovery 是系統的東西，而點了Fix problom 或 Fix Errors，就會中毒更深。

只要再次重開機，桌面C槽的東西就被隱藏了，修改 [資料夾選項] 顯示所有系統、隱藏、保護的檔案和資料夾、也都有問題。
中毒深的，甚至 msconfig 裡面的啟動、服務、IE附加元件、新增移除程式也找不到可疑的東西。


不斷跳出點不完的錯誤訊息，Windows - Delayed Write Filed


HD Critical Error

重點!!! 如果電腦中標，英文OK，會解 regedit 、會輸入 cmd 的，可以參考以下兩個網址

Free of Virus & Computer Tips http://freeofvirus.blogspot.com/  Remove Fake Antivirus 1.80
My Anti Spyware http://www.myantispyware.com/


中了 Fake AV，一般而言，建議參考下方步驟操作，如果看不懂的話，還是請專業的來吧 = =+

1. 下載安裝 Malwarebytes' Anti-Malware 免費反惡意軟體，並全系統掃描
    系統中毒已深，不能安裝的請下載 Malwarebytes' Anti-Malware 1.51.0.1200 免安裝版

2. 掃描並刪除病毒惡意程式後，備份資料

3. 檢查是否還有殘餘病毒或惡意程式，清除所有 Temp File 、上網 cookies 、網頁暫存檔、cache file

4. 檢查系統是否還有異常狀況，檢查msconfig 是否有可疑啟動程式
以及檢查 regedit 與 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
沒有人會保證 Malwarebytes' Anti-Malware 能 100% 清除，因為這種假防毒、假AV、假 System Tools 會變種，猖獗的很 ~"~

5. 如果系統有異狀，如資料夾無法正常顯示、不能正常開啟，建議重灌系統槽

6. 這種假防毒就是利用廣告讓使用者中招的
目前確定2011.04.25賽門鐵克 Symantec Endpoint Protection 11 無法防堵新變種 WindowsRecovery

所以要預防中此招，除了安裝 Malwarebytes' Anti-Malware 與防毒軟體，

最好的方法，請用 Firefox + Adblock Plus (擋廣告套件) 上網。

PS. 筆記 ψ(._. )>
2010.12.29 遇到的 HDD plus 因為 Symantec 有擋下，加上使用者沒有亂點 Fake AV 上的按鈕
只要移除與可疑軟體，檢查msconfig ，清temp，symantec 掃描完後就沒事了
Trojan.FakeAV    MMhSYusIqfFLp.dll 　tmpD.tmp　4975140.exe