Adware lợi dụng Windows UAC ngăn cài đặt trình diệt virus

Bằng cách sử dụng các chứng thực số từ các công ty cùng tính năng User Access Control (UAC) trên , một biến thể mới của adware Vonteera sẽ ngăn người dùng cài các chương trình chống virus.

tin-tuc-25-11-4

Theo Softpedia, Vonteera là một loại mã độc quảng cáo (adware) đơn giản đã từng tồn tại qua nhiều năm. Adware này lây nhiễm bằng cách tự gắn vào các trình duyệt và hiển thị các mẩu quảng cáo “lừa” người dùng tải về và cài đặt các ứng dụng không mong muốn. Nghiên cứu mới đây của công ty bảo mật Malwarebytes cho biết, Vonteera đã “tiến hóa” thêm một bước để trở thành một trojan thông qua một phương thức gây hại khá mới mẻ.

Phát hiện mới cho thấy sau khi lây nhiễm, Vonteera sẽ copy 13 chứng thực hợp lệ vào mục “Chứng thực không đáng tin cậy” của Windows. Mục “Chứng thực không đáng tin cậy” (Untrusted Certificates) được UAC sử dụng để chặn và ngăn ngừa người dùng không cài đặt, sử dụng các ứng dụng có thể gây hại.

Điều đáng nói là 13 chứng thực nói trên đều thuộc về các công ty bảo mật, bao gồm Avast, AVG, Avira, Baidu, Bitdefender, ESET, ESS Distribution, Lavasoft, Malwarebytes, McAffee, Panda Security, TreatTrack Security và Trend Micro. Điều này khiến cho “hiểu lầm” và chặn bộ cài đồng thời hiển thị cảnh báo khi người dùng cố cài phần mềm chống virus sau khi đã bị lây nhiễm Vonteera.

tin-tuc-25-11-5Cảnh báo UAC sai lệch xuất hiện sau khi máy tính bị nhiễm Vonteera

May mắn là Vonteera không có khả năng tự động tắt các phần mềm chống virus đã cài đặt sẵn trên hệ thống. Hiện tại, người dùng có thể xoá các chứng thực bị Vonteera copy một cách thủ công. Do mã độc này sử dụng tính năng Windows Task Scheduler để hiển thị quảng cáo không mong muốn, người dùng cũng có thể truy cập vào tính năng này của Windows để tắt adware trên sau khi đã bị lây nhiễm.

Theo VnReview

Bài viết liên quan