Strona główna / Bezpieczeństwo / Znowu fałszywe antywirusy
środa 08 październik 2008 | Cezary Tchorek-Helm
Znowu fałszywe antywirusy
Przez ostatnich kilka miesięcy nowa generacja fałszywego oprogramowania zabezpieczającego (rogue security) trafia na nagłówki artykułów dotyczących zabezpieczeń.

Zagrożenia w takiej postaci zwykle posługują się taktyką, której celem jest wzbudzenie strachu, i która skłania nieświadomych użytkowników do kliknięcia na adres URL prowadzący do szkodliwej witryny lub powodujący pobranie szkodliwego oprogramowania. Może też zachęcić do zakupu oprogramowania, które wydaje się pożyteczne i potrzebne, a w istocie jest szkodliwe.

Kupujemy ze strachu, niepotrzebnie

Tego typu zagrożenia powodują, że użytkownicy kupują niepotrzebne oprogramowanie w celu uniknięcia infekcji. Jak na ironię, tak zwane oprogramowanie zabezpieczające, które użytkownik pobiera, jest w rzeczywistości szkodliwe. Nie zawiera ono prawidłowego kodu programu antywirusowego lub zabezpieczającego przed programami szpiegującymi.

Powrót Nuwara

Część faÅ‚szywego oprogramowania zabezpieczajÄ…cego byÅ‚a aktywna w pierwszej poÅ‚owie 2008 roku, jednak na wiÄ™kszÄ… skalÄ™ cyberprzestÄ™pcy powrócili do tego rodzaju dziaÅ‚alnoÅ›ci w lipcu 2008 r. Za jednym z ataków kryÅ‚ siÄ™ przodek wszystkich botnetów — Storm Worm NUWAR. NUWAR to najwiÄ™kszy botnet — sieć komputerów (dziaÅ‚ajÄ…ca w wiÄ™kszoÅ›ci przypadków poza wiedzÄ… ich wÅ‚aÅ›cicieli), w której każda maszyna jest kontrolowana przez osobÄ™ zarzÄ…dzajÄ…cÄ… botnetem z użyciem kodu pobieranego na dane urzÄ…dzenie. Jednym z głównych zastosowaÅ„ sieci botnet jest wysyÅ‚anie spamu oraz innych zagrożeÅ„ za pomocÄ… wiadomoÅ›ci e-mail (firma Trend Micro szacuje, że botnety sÄ… obecnie odpowiedzialne za okoÅ‚o 90% wysyÅ‚anego spamu).

Strach dobrym narzędziem cyberprzestępców

PrzestÄ™pcy internetowi wykorzystujÄ… strach przed infekcjÄ… wirusami i oprogramowaniem szpiegujÄ…cym, wmawiajÄ…c użytkownikom (niezgodnie z prawdÄ…), że ich komputery zostaÅ‚y zainfekowane, i oferujÄ…c oprogramowanie zabezpieczajÄ…ce, które umożliwia rozwiÄ…zanie tego problemu. Jednakże takie oprogramowanie jest w rzeczywistoÅ›ci szkodliwe! W lipcu w spamie rozsyÅ‚anym przez NUWAR znalazÅ‚o siÄ™ łącze do darmowego filmu, w którym głównÄ… rolÄ™ graÅ‚a Liv Tyler. Po klikniÄ™ciu tego łącza byÅ‚o wyÅ›wietlane okno informujÄ…ce użytkownika o wystÄ…pieniu „błędów w zabezpieczeniach” i sugerujÄ…ce, że komputer zostaÅ‚ zainfekowany oprogramowaniem szpiegujÄ…cym.

Znajdowała się tam także informacja o możliwości pobrania pliku o niewinnej nazwie (INSTALL_EN.EXE), który w rzeczywistości był wariantem robaka NUWAR. Pobranie tego pliku powodowało instalację kolejnych rodzajów NUWAR. Pod koniec lipca zanotowano podobne działania, zachęcające do pobrania fałszywego programu antywirusowego (np. kuszące użytkowników filmem z udziałem Angeliny Jolie).

Email, komunikatory, banery i …serwisy spoÅ‚ecznoÅ›ciowe

W sierpniu, krótko po opublikowaniu poprawki przez firmÄ™ Microsoft, pojawiÅ‚ siÄ™ spam pochodzÄ…cy rzekomo od tej firmy, w którym zalecano użytkownikom instalacjÄ™ kolejnej, bardzo ważnej aktualizacji. Jednakże „poprawka” zawieraÅ‚a szkodliwe oprogramowanie — EXPL_ANICMOO.GEN. ByÅ‚ to exploit obecny w sieci już wczeÅ›niej.

Nowy rodzaj fałszywego oprogramowania zabezpieczającego rozprzestrzenia się nie tylko poprzez pocztę elektroniczną. W połowie sierpnia firma Trend Micro wykryła łącza do takich programów w aplikacjach komunikatorów oraz w prywatnych wiadomościach w serwisach społecznościowych.

Jak wygląda fałszywka

Jeden z alertów zawieraÅ‚ wyglÄ…dajÄ…cy na oficjalny komunikat, który ostrzegaÅ‚ użytkowników, że „w komputerze wykryto wirusy” i informowaÅ‚ o dostÄ™pnoÅ›ci nowej aktualizacji bazy wirusów. Użytkownicy mieli do wyboru opcjÄ™ „Aktualizuj teraz” lub „Przypomnij później”. Program „Antivirus 2008” wyÅ›wietlaÅ‚ przekonujÄ…cÄ… listÄ™ wirusów wykrytych po „przeskanowaniu systemu” użytkownika i zawieraÅ‚ ostrzeżenie „UWAGA! Liczba zainfekowanych plików: 34!!! (WARNING! 34 infections found!!!)”.

Jak działa fałszywka

Program stawiaÅ‚ użytkowników przed trudnym wyborem: „Wyeliminuj teraz wszystkie zagrożenia” czy „Kontynuuj pracÄ™ bez ochrony”. NastÄ™pnie oprogramowanie doradzaÅ‚o wybór „wersji próbnej” jako wystarczajÄ…cej do usuniÄ™cia zagrożeÅ„ oraz informowaÅ‚o o koniecznoÅ›ci dokonania rejestracji w celu uzyskania peÅ‚nej wersji. W rzeczywistoÅ›ci oprogramowanie zawieraÅ‚o różne rodzaje koni trojaÅ„skich, z których jeden byÅ‚ wyposażony w zaawansowane funkcje graficzne umożliwiajÄ…ce wprowadzanie kolejnych alarmujÄ…cych symptomów (np. modyfikacjÄ™ tapety tak, aby wyÅ›wietlany byÅ‚ obraz „Niebieskiego ekranu Å›mierci”).

Zastraszanie

Niektórzy cyberprzestępcy wykorzystują inne formy zastraszania niż fikcyjne infekcje komputerów wirusami lub programami szpiegującymi. W połowie sierpnia firma Trend Micro poinformowała o wykryciu taktyki zastraszania stosowanej przez spamerów i skierowanej przeciwko użytkownikom udostępniającym pliki. Jej celem było skłonienie przyszłej ofiary do otwarcia destrukcyjnego załącznika poprzez grożenie pechowym odbiorcom zablokowaniem dostępu do Internetu lub podjęciem czynności prawnych.

Konsorcjum Operatorów Internetowych

Jedna wiadomość e-mail, szczególnie niepokojÄ…ca dla niektórych użytkowników, pochodziÅ‚a rzekomo od „Konsorcjum Operatorów Internetowych” (ang. Internet Service Provider Consorsium), które wedÅ‚ug informacji podanej w tej wiadomoÅ›ci, przeprowadza „regularne kontrole posiadanych sieci, których celem jest monitorowanie czynów przestÄ™pczych”. W wiadomoÅ›ci informowano „Zdajemy sobie sprawÄ™ z PaÅ„stwa nielegalnych dziaÅ‚aÅ„ w Internecie” i dołączano do niej w formie załącznika „raport” zawierajÄ…cy takie czynnoÅ›ci.

Podobne artykuły
zobacz więcej
Nazwa.pl
więcej
Video
więcej
Video"
więcej