środa 08 październik 2008 | Cezary Tchorek-Helm

Znowu fałszywe antywirusy

Przez ostatnich kilka miesięcy nowa generacja fałszywego oprogramowania zabezpieczającego (rogue security) trafia na nagłówki artykułów dotyczących zabezpieczeń.

Zagrożenia w takiej postaci zwykle posługują się taktyką, której celem jest wzbudzenie strachu, i która skłania nieświadomych użytkowników do kliknięcia na adres URL prowadzący do szkodliwej witryny lub powodujący pobranie szkodliwego oprogramowania. Może też zachęcić do zakupu oprogramowania, które wydaje się pożyteczne i potrzebne, a w istocie jest szkodliwe.

Kupujemy ze strachu, niepotrzebnie

Tego typu zagrożenia powodują, że użytkownicy kupują niepotrzebne oprogramowanie w celu uniknięcia infekcji. Jak na ironię, tak zwane oprogramowanie zabezpieczające, które użytkownik pobiera, jest w rzeczywistości szkodliwe. Nie zawiera ono prawidłowego kodu programu antywirusowego lub zabezpieczającego przed programami szpiegującymi.

Powrót Nuwara

Część fałszywego oprogramowania zabezpieczającego była aktywna w pierwszej połowie 2008 roku, jednak na większą skalę cyberprzestępcy powrócili do tego rodzaju działalności w lipcu 2008 r. Za jednym z ataków krył się przodek wszystkich botnetów — Storm Worm NUWAR. NUWAR to największy botnet — sieć komputerów (działająca w większości przypadków poza wiedzą ich właścicieli), w której każda maszyna jest kontrolowana przez osobę zarządzającą botnetem z użyciem kodu pobieranego na dane urządzenie. Jednym z głównych zastosowań sieci botnet jest wysyłanie spamu oraz innych zagrożeń za pomocą wiadomości e-mail (firma Trend Micro szacuje, że botnety są obecnie odpowiedzialne za około 90% wysyłanego spamu).

Strach dobrym narzędziem cyberprzestępców

Przestępcy internetowi wykorzystują strach przed infekcją wirusami i oprogramowaniem szpiegującym, wmawiając użytkownikom (niezgodnie z prawdą), że ich komputery zostały zainfekowane, i oferując oprogramowanie zabezpieczające, które umożliwia rozwiązanie tego problemu. Jednakże takie oprogramowanie jest w rzeczywistości szkodliwe! W lipcu w spamie rozsyłanym przez NUWAR znalazło się łącze do darmowego filmu, w którym główną rolę grała Liv Tyler. Po kliknięciu tego łącza było wyświetlane okno informujące użytkownika o wystąpieniu „błędów w zabezpieczeniach” i sugerujące, że komputer został zainfekowany oprogramowaniem szpiegującym.

Znajdowała się tam także informacja o możliwości pobrania pliku o niewinnej nazwie (INSTALL_EN.EXE), który w rzeczywistości był wariantem robaka NUWAR. Pobranie tego pliku powodowało instalację kolejnych rodzajów NUWAR. Pod koniec lipca zanotowano podobne działania, zachęcające do pobrania fałszywego programu antywirusowego (np. kuszące użytkowników filmem z udziałem Angeliny Jolie).

Email, komunikatory, banery i …serwisy społecznościowe

W sierpniu, krótko po opublikowaniu poprawki przez firmę Microsoft, pojawił się spam pochodzący rzekomo od tej firmy, w którym zalecano użytkownikom instalację kolejnej, bardzo ważnej aktualizacji. Jednakże „poprawka” zawierała szkodliwe oprogramowanie — EXPL_ANICMOO.GEN. Był to exploit obecny w sieci już wcześniej.

Nowy rodzaj fałszywego oprogramowania zabezpieczającego rozprzestrzenia się nie tylko poprzez pocztę elektroniczną. W połowie sierpnia firma Trend Micro wykryła łącza do takich programów w aplikacjach komunikatorów oraz w prywatnych wiadomościach w serwisach społecznościowych.

Jak wygląda fałszywka

Jeden z alertów zawierał wyglądający na oficjalny komunikat, który ostrzegał użytkowników, że „w komputerze wykryto wirusy” i informował o dostępności nowej aktualizacji bazy wirusów. Użytkownicy mieli do wyboru opcję „Aktualizuj teraz” lub „Przypomnij później”. Program „Antivirus 2008” wyświetlał przekonującą listę wirusów wykrytych po „przeskanowaniu systemu” użytkownika i zawierał ostrzeżenie „UWAGA! Liczba zainfekowanych plików: 34!!! (WARNING! 34 infections found!!!)”.

Jak działa fałszywka

Program stawiał użytkowników przed trudnym wyborem: „Wyeliminuj teraz wszystkie zagrożenia” czy „Kontynuuj pracę bez ochrony”. Następnie oprogramowanie doradzało wybór „wersji próbnej” jako wystarczającej do usunięcia zagrożeń oraz informowało o konieczności dokonania rejestracji w celu uzyskania pełnej wersji. W rzeczywistości oprogramowanie zawierało różne rodzaje koni trojańskich, z których jeden był wyposażony w zaawansowane funkcje graficzne umożliwiające wprowadzanie kolejnych alarmujących symptomów (np. modyfikację tapety tak, aby wyświetlany był obraz „Niebieskiego ekranu śmierci”).

Zastraszanie

Niektórzy cyberprzestępcy wykorzystują inne formy zastraszania niż fikcyjne infekcje komputerów wirusami lub programami szpiegującymi. W połowie sierpnia firma Trend Micro poinformowała o wykryciu taktyki zastraszania stosowanej przez spamerów i skierowanej przeciwko użytkownikom udostępniającym pliki. Jej celem było skłonienie przyszłej ofiary do otwarcia destrukcyjnego załącznika poprzez grożenie pechowym odbiorcom zablokowaniem dostępu do Internetu lub podjęciem czynności prawnych.

Konsorcjum Operatorów Internetowych

Jedna wiadomość e-mail, szczególnie niepokojąca dla niektórych użytkowników, pochodziła rzekomo od „Konsorcjum Operatorów Internetowych” (ang. Internet Service Provider Consorsium), które według informacji podanej w tej wiadomości, przeprowadza „regularne kontrole posiadanych sieci, których celem jest monitorowanie czynów przestępczych”. W wiadomości informowano „Zdajemy sobie sprawę z Państwa nielegalnych działań w Internecie” i dołączano do niej w formie załącznika „raport” zawierający takie czynności.