Adware lợi dụng Windows UAC ngăn cài đặt trình diệt virus

Thảo luận trong 'Hacking - Bảo mật' bắt đầu bởi Trần Văn Cường, 4/12/15.

  1. Trần Văn Cường

    Trần Văn Cường I love CNTT Thành viên BQT Thành viên BQT

    Tham gia ngày:
    8/11/15
    Bài viết:
    3,693
    Đã được thích:
    43
    Điểm thành tích:
    48
    Giới tính:
    Nam
    Nghề nghiệp:
    Sinh Viên
    Nơi ở:
    Quảng Ninh thân yêu!
    Web:

    #1 Trần Văn Cường, 4/12/15
    Chỉnh sửa cuối: 4/12/15
    Bằng cách sử dụng các chứng thực số từ các công ty bảo mật cùng tính năng User Access Control (UAC) trên Windows, một biến thể mới của adware Vonteera sẽ ngăn người dùng cài các chương trình chống virus.

    adware-loi-dung-windows-uac-ngan-cai-dat-trinh-diet-virus.jpg

    Theo Softpedia, Vonteera là một loại mã độc quảng cáo (adware) đơn giản đã từng tồn tại qua nhiều năm. Adware này lây nhiễm bằng cách tự gắn vào các trình duyệt và hiển thị các mẩu quảng cáo "lừa" người dùng tải về và cài đặt các ứng dụng không mong muốn. Nghiên cứu mới đây của công ty bảo mật Malwarebytes cho biết, Vonteera đã "tiến hóa" thêm một bước để trở thành một trojan thông qua một phương thức gây hại khá mới mẻ.

    Phát hiện mới cho thấy sau khi lây nhiễm, Vonteera sẽ copy 13 chứng thực hợp lệ vào mục "Chứng thực không đáng tin cậy" của Windows. Mục "Chứng thực không đáng tin cậy" (Untrusted Certificates) được UAC sử dụng để chặn và ngăn ngừa người dùng không cài đặt, sử dụng các ứng dụng có thể gây hại.

    Điều đáng nói là 13 chứng thực nói trên đều thuộc về các công ty bảo mật, bao gồm Avast, AVG, Avira, Baidu, Bitdefender, ESET, ESS Distribution, Lavasoft, Malwarebytes, McAffee, Panda Security, TreatTrack Security và Trend Micro. Điều này khiến cho Windows UAC "hiểu lầm" và chặn bộ cài đồng thời hiển thị cảnh báo khi người dùng cố cài phần mềm chống virus sau khi đã bị lây nhiễm Vonteera.

    adware-loi-dung-windows-uac-ngan-cai-dat-trinh-diet-virus2.jpg

    Cảnh báo UAC sai lệch xuất hiện sau khi máy tính bị nhiễm Vonteera

    May mắn là Vonteera không có khả năng tự động tắt các phần mềm chống virus đã cài đặt sẵn trên hệ thống. Hiện tại, người dùng có thể xoá các chứng thực bị Vonteera copy một cách thủ công. Do mã độc này sử dụng tính năng Windows Task Scheduler để hiển thị quảng cáo không mong muốn, người dùng cũng có thể truy cập vào tính năng này của Windows để tắt adware trên sau khi đã bị lây nhiễm.
     

    Bình Luận Bằng Facebook

    data-href="https://cnttqn.com/threads/adware-loi-dung-windows-uac-ngan-cai-dat-trinh-diet-virus.697.html"