Atrapa antywirusa
-
- Joanna Gaweł-Jaskółowska,
- 05.05.2009
Najpopularniejszą atrapą programu antywirusowego jest MS Antivirus, znany także jako XP Antivirus, Windows Antivirus, Antivirus Pro 2009, Vista Antivirus czy AntiSpywareMaster. Jego głównym działaniem jest zachęcanie użytkownika do zakupu programu za pomocą dokuczliwych komunikatów. Chociaż sam nie kradnie danych, wyłącza prawdziwe oprogramowanie antywirusowe (do listy należy np. McAfee Total Protection, Spybot-Search&Destroy, AVG), przez co naraża komputery na infekcje. Ponadto może posłużyć do instalacji spyware'u, który z kolei posłuży do kradzieży danych. Niektóre z wariantów MS Antivirus przekierowują wyszukiwanie do pseudowyszukiwarki podobnej do Google, z linkami do innego złośliwego oprogramowania.
Droga infekcji
Infekcja odbywa się często przez pobranie i instalację złośliwego oprogramowania udającego kodek systemowy, rzekomo niezbędny do przejrzenia klipu wideo. Ponieważ pliki w formacie Windows Media mogą zawierać linki do kodeków, twórcy złośliwego oprogramowania często to wykorzystują. Ze względu na łatwość i rozpowszechnienie złośliwego kodu, należy w firmie zablokować pobieranie multimedialnych treści poza typowymi stronami, co do których wiadomo, że raczej nie posłużą do infekcji komputerów.
Drugą drogą jest pobranie i instalacja złośliwego oprogramowania ze strony WWW. Zablokowanie takich stron jest trudne, nawet przy użyciu urządzeń UTM, które kategoryzują ruch, dlatego należy korzystać z korporacyjnego oprogramowania antywirusowego, które posiada moduł reputacji plików lub linków. W niektórych przypadkach instalacja odbywa się poprzez wykorzystanie luki w bezpieczeństwie Internet Explorera. Pomimo poprawy bezpieczeństwa najnowszej wersji, nadal wykorzystuje ona technologię ActiveX, która integruje się z systemem Windows i jest podatna na błędy. Jest to jeden z powodów, dla których Firefox jest bezpieczniejszą przeglądarką i przy regularnej aktualizacji zapewnia wyższy poziom bezpieczeństwa.
Stosunkowo najrzadziej takie programy roznoszą się przez sieć lokalną firmy, ale warto regularnie skanować zasoby plikowe serwerów, by wychwycić odłożone "na później" pliki.
Wykrycie tych narzędzi jest proste, o ile powodują one typowe zjawiska - wyświetlają okna dialogowe, powiadomienia, blokują niektóre strony, a nawet wyświetlają fałszywy ekran załamania systemu operacyjnego. W środowisku korporacyjnym należy jednak przeszukać wszystkie komputery, dlatego najlepiej skorzystać z gotowych szablonów oprogramowania klasy enterprise. Bardzo pomocne mogą być raporty poszukiwania plików (warto poszukać bibliotek DLL shlwapi.dll, wininet.dll, msplg7.dll i sprawdzić ich autentyczność, chociaż nie są to jedyne pliki tego popularnego malware'u). W poszukiwaniu mogą pomóc również wyszukiwania zmodyfikowanych wpisów w rejestrze Windows. Korporacyjne IPS-y potrafią wykryć komunikację takich programów z sieciami kontrolującymi je, ale nie zawsze zadziałają przy pierwszej próbie transmisji. Sygnał z IPS-a wskazujący na ruch złośliwego oprogramowania z sieci lokalnej na zewnątrz jest bardzo ważnym sygnałem dla administratora.
