Atrapa antywirusa

Cyberprzestępcy zarabiają w bardzo różny sposób, od oszustw związanych z kartami płatniczymi, po dostarczanie fałszywych programów, także antywirusowych.

158 tys. USD

tygodniowo to przychody firmy rozpowszechniającej fałszywe oprogramowanie antywirusowe po udanym włamaniu do baz danych firmy Bakasoftware (twórców XP Antivirus).

Typowy użytkownik Windows wie o tym, że wirusy istnieją. Twórcy malware doskonale o tym wiedzą i przygotowują coś, co ma wywołać złudne poczucie bezpieczeństwa - fałszywe oprogramowanie antywirusowe. Aby użytkownik je kupił, zachęca się go za pomocą okien pop-up albo banerów reklamowych, proponujących zakup stosownego oprogramowania ("WARNING! Your computer is infected with Spyware/Adware/Viruses! Buy [tutaj nazwa programu] to remove it!"). Niektóre z banerów nie proponują zakupu, ale zachęcają do skanowania komputera lub informują o tym, że komputer nie jest optymalnie skonfigurowany. Zazwyczaj po kliknięciu banera lub przycisku OK, przeglądarka zostaje przekierowana do strony WWW rozpowszechniającej malware i rozpoczyna się instalacja.

Czasami przekierowanie odbywa się także po kliknięciu przycisku "X", który zazwyczaj służy do zamykania okna lub reklamy. Niektóre programy, takie jak SpyAxe, automatycznie pobierają wersję próbną, instalując ją bez ingerencji użytkownika. Ten proces, zwany instalacją drive-by, sprawnie zaraża komputery z Windows, jeśli tylko użytkownik posiada stosowne uprawnienia. Ze względu na tradycyjną konfigurację Windows z użyciem konta administratora, automatyczna instalacja powiedzie się w większości komputerów z Windows XP, w systemie Windows Vista i Windows 7 beta wystarczy jedynie jedno potwierdzenie użycia podwyższonych uprawnień.

Po instalacji fałszywego antywirusa, złośliwy kod zostaje pobrany, zainstalowany i zintegrowany z systemem. Usunięcie niektórych z tych programów jest bardzo trudne. Stosują one bowiem różne tricki, aby nakłonić użytkownika do zakupu "pełnej" lub "zarejestrowanej" wersji. Najczęściej stosują fałszywe alarmy, pobierane rzeczywiste złośliwe oprogramowanie i blokowanie niektórych elementów systemu operacyjnego. Programy te nie zawsze modyfikują typowe miejsca Rejestru związane z polisami GPO, częściej dokonują zmian w bibliotekach Windows. Przy tym usuwają punkty przywracania w Windows, uniemożliwiając łatwe odtworzenie stanu sprzed infekcji.

Nie wszystko złoto co się świeci

Niektóre z tych programów posiadają realistyczny interfejs użytkownika, wzorujący się na oryginalnych programach. W ten sposób naśladowane są pakiety firm Symantec, McAfee czy Trend Micro albo prawdziwe narzędzia, takie jak Spybot S&D. Podszywanie idzie znacznie dalej, niektóre z tych programów potrafią przedstawić się starszym konsolom zarządzania jako pełnoprawne oprogramowanie, chociaż nieaktualne. Nowoczesne konsole, które uwierzytelniają klienta przy pomocy certyfikatów z podpisem cyfrowym, są odporne na ten atak.