正如我们在其他最近的例子中看到的那样[1], [2],[3.]技术支持诈骗者正在使用恶意软件作者书中的每一个技巧,以获得新的“客户”。以下是使用Winlogon-shell注册表值重新启动后接管受害者的Windows系统。

shell注册表值

在默认情况下,注册表值是这样的:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ WOW6432NODE \ Microsoft \ Windows NT \ CurrentVersion \ WinLogon](64位操作系统)或[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ WinLogon](32位OS)“shell”=“Explorer.exe”

这使得用户可以访问他的任务栏和桌面(以及其他事物)。它可以通过所谓的皮肤或更换贝壳改变了用户的同意,但在这种情况下,它没有同意完成。

该值已更改为:

“shell”=“c:\ program files(x86)\ productkeyupdate \ productkeyupdate.exe”

作为备份,在注册表的HKEY_CURRENT_USER分支下也是如此。因此,如果您可以在HKEY_LOCAL_MACHINE下更改值下的用户,则仍将受到恢复安装程序的用户。
这导致用户登录后的此屏幕:

Tssscreen.

由于缺少Windows任务栏,普通用户会感到非常无助,但技术支持骗子留下了一个缺口,很可能是为了自己使用,目的是让用户觉得他们确实得到了一些钱。稍后再谈。

安装者

安装程序是一个名为hotstar.exe的文件,并由研究员提交给我们。我们怀疑该文件托管在网站上的Amiga [Dot] Tech,因为有两个原因。安装程序打开两个浏览器Windows,其中一个查询网站。另一个打开exetracking.weebly.com,一个可以用来跟踪安装数量的网站,但这作者的帐户几周前被暂停。另一个原因是Amiga [Dot] Tech仍然托管一个名为HotStar.exe的文件,但这一个安装假货注册表清洁器。(在清洁虚拟机上在0.2秒内发现896感染的类型。)

感染

打开两个浏览器Windows安装程序会告诉您它已完成 -

警告2

- 它触发了系统重启,毫无疑问,迫使用户在登录后找到技术支持诈骗者屏幕。

批

逃生

查看“技术支持骗子”屏幕,您会注意到一些选项。

  • 一个是输入您的产品密钥和进入,这是不推荐的,因为它可以出售给谁知道谁。(我们试了一个假的,但什么也没发生。)
  • TeamViewer.按钮带你去Teamviewer网站.Teamviewer是一种合法的软件,可以远程控制系统。技术支持骗子和真正的技术支持人员经常使用它查看远程系统并解决问题(或窃取信息并使事情变得更糟)。
  • 这同样是真的最高罗格明。两者都是用于遥控器的软件包。
  • 标有按钮指令是一个让我们高兴的,因为它打开了一个命令提示符。

这让我们很高兴,因为它为我们提供了一种重新控制系统的方法。理论上,我们可以撤销安装人员所做的所有更改,并手动清洁机器。但是,删除取代explorer作为外壳的文件,然后重新启动并让Malwarebytes Anti-Malware处理其余的文件要容易得多。必威平台APP

请注意,当您删除用作shell替换的文件时,Windows将还原默认注册表HKEY_LOCAL_MACHINE值。

显然,有几种方法可以使用命令提示符解决此问题,但我更喜欢的方法是:

  • 使用指令Tech Support诈骗者屏幕中的按钮
  • 在命令提示下,使用以下命令Taskmgr.要启动TaskManager并终止调用ProductKeyUpdate.exe.
  • 在命令提示下,使用以下命令探索者打开文件浏览器窗口并删除该文件ProductKeyUpdate.exe.
  • 在命令提示下,使用以下命令关机–r重新启动计算机,使其恢复正常状态。
  • 下载并运行MalwareBytes必威平台APP Anti-Malware来清除剩余物。

如果您已安装Malwarebytes A必威平台APPnti-Malware,则安装它甚至更轻松:

  • 使用Tech Support Scammers屏幕中的Cmd按钮打开命令提示符
  • 在命令提示符中使用命令浏览要打开文件浏览器窗口并导航到文件夹%Programfiles%\ MalwareBytes反恶意软件\ Chameleon \ Windows并双击该文件必威平台APP进程名开始变色龙。
  • 然后按照屏幕上的说明进行操作,将完全删除感染

文件详细信息

安装程序的Md5:A9E5AF63D548847D26B07E1F498389D

Productkeyupdate.exe的Md5C52203064F03CAECB3B34567667B15B9

的恶意网站保护组件必威平台APPMalwarebytes反恶意软件Premium阻止网站Amiga [Dot] Tech。

保护2.

恶意软件保护组件阻止安装程序的执行。

保护1

在我们的网站上可以找到针对这种感染的详细说明的删除指南(安装或不安装Malwarebytes Ant恶意软件)必威平台APP论坛

总结

我们研究了另一个技术支持骗局,利用恐吓手段诱使受害者拨打他们的电话号码。方法有点不同,但最终目标是相同的。拿着钱跑吧。因此,省去你的麻烦,得到保护。

Pieter Arntz.