Bezpieczeństwo, antywirusy, zabezpieczenia » fałszywe

Fałszywe programy antywirusowe

bezpieczenstwo — Fri, 16 Oct 2009 20:46:24 +0000

Przejmują i blokują komputery

PandaLabs odkryło nowy, bardziej agresywny trend w sprzedaży fałszywych antywirusów i aplikacji typu rogueware. Aplikacje te blokują dostęp do danych użytkownika. Manualne oczyszczenie zainfekowanego komputera jest niezwykle trudne, bowiem aplikacje zmuszają ofiarę ataku do uiszczenia opłaty lub sformatowania komputera. Laboratorium PandaLabs zamieściło na swoim blogu numery seryjne niezbędne do odblokowania przejętego komputera.

Laboratorium badawcze firmy Panda, odkryło bardzo agresywny trend w sprzedaży fałszywych antywirusów i aplikacji typu rogueware. Dotychczas, w przypadku zainfekowania złośliwym oprogramowaniem tego typu, na ekranie komputera pojawiała się seria komunikatów zalecających użytkownikowi wykupienie płatnej wersji programu. Obecnie programy te działają w połączeniu z aplikacjami typu ransomware, które przejmują komputer i uniemożliwiają korzystanie z niego, dopóki ofiara ataku nie dokona płatności.

Po zainfekowaniu komputera użytkownik nie może uruchamiać programów ani otwierać dokumentów. Komputer wyświetla jedynie komunikat, który zawiera nieprawdziwą informację o zainfekowaniu wszystkich plików i konieczności zakupu fałszywego antywirusa.

Fałszywy program o nazwie Total Security 2009 kosztuje 79,95 euro. Ofiary mogą wykupić dodatkowo usługę wsparcia technicznego za kolejne 19,95 euro. Użytkownicy, którzy uiszczą opłatę, otrzymują numer seryjny, którego wprowadzenie do aplikacji powoduje odblokowanie danych oraz plików wykonywalnych, umożliwiając normalne korzystanie z komputera i odzyskanie dostępu do danych. Fałszywy antywirus pozostaje jednak w systemie.

„Sposób działania takich aplikacji typu rogueware stanowi podwójne ryzyko. Po pierwsze, użytkownicy są zmuszeni do zapłacenia za możliwość korzystania z własnego komputera. Po drugie, mogą oni sądzić, że na komputerze zainstalowane jest autentyczne oprogramowanie antywirusowe, gdy w rzeczywistości system jest pozbawiony ochrony” – wyjaśnia Louis Corrons, dyrektor techniczny PandaLabs

„Często do zarażenia dochodzi nieświadomie, zwykle po wejściu na zainfekowaną stronę. Po zainfekowaniu systemu usunięcie zagrożenia jest niezwykle trudne, nawet dla osób posiadających pewną wiedzę techniczną” – podkreśla Corrons. „Ponadto użytkownicy nie mogą korzystać z żadnych narzędzi do wykrywania i usuwania złośliwych kodów, ponieważ wszystkie programy są zablokowane. Jedyną działającą aplikacją jest przeglądarka internetowa, która umożliwia ofierze ataku dokonanie opłaty za fałszywy antywirus. Dlatego na blogu PandaLabs umieściliśmy numery seryjne niezbędne do odblokowania przejętego komputera. Użytkownicy mogą również zainstalować autentyczne oprogramowanie ochronne w celu dokładnego przeskanowania komputera i usunięcia wszelkich pozostałości fałszywego antywirusa.”

Laboratorium PandaLabs opublikowało niedawno raport na temat dochodowego biznesu aplikacji typu rogueware. „Zwrot w kierunku blokowania komputerów jest dowodem na to, że użytkownicy potrafią lepiej rozpoznawać zagrożenia, a firmy specjalizujące się w zabezpieczeniach są coraz skuteczniejsze. To by wyjaśniało, dlaczego hakerzy stosują coraz agresywniejsze metody wymuszania opłat od użytkowników.” Raport PandaLabs dostępny jest pod adresem: http://www.pandasecurity.com/img/enc/The%20Business%20of%20Rogueware.pdf

Fałszywe antywirusy

bezpieczenstwo — Wed, 08 Oct 2008 16:56:45 +0000

Przez ostatnich kilka miesięcy nowa generacja fałszywego oprogramowania zabezpieczającego (rogue security) trafia na nagłówki artykułów dotyczących zabezpieczeń.

Zagrożenia w takiej postaci zwykle posługują się taktyką, której celem jest wzbudzenie strachu, i która skłania nieświadomych użytkowników do kliknięcia na adres URL prowadzący do szkodliwej witryny lub powodujący pobranie szkodliwego oprogramowania. Może też zachęcić do zakupu oprogramowania, które wydaje się pożyteczne i potrzebne, a w istocie jest szkodliwe.

Kupujemy ze strachu, niepotrzebnie

Tego typu zagrożenia powodują, że użytkownicy kupują niepotrzebne oprogramowanie w celu uniknięcia infekcji. Jak na ironię, tak zwane oprogramowanie zabezpieczające, które użytkownik pobiera, jest w rzeczywistości szkodliwe. Nie zawiera ono prawidłowego kodu programu antywirusowego lub zabezpieczającego przed programami szpiegującymi.

Powrót Nuwara

Część fałszywego oprogramowania zabezpieczającego była aktywna w pierwszej połowie 2008 roku, jednak na większą skalę cyberprzestępcy powrócili do tego rodzaju działalności w lipcu 2008 r. Za jednym z ataków krył się przodek wszystkich botnetów — Storm Worm NUWAR. NUWAR to największy botnet — sieć komputerów (działająca w większości przypadków poza wiedzą ich właścicieli), w której każda maszyna jest kontrolowana przez osobę zarządzającą botnetem z użyciem kodu pobieranego na dane urządzenie. Jednym z głównych zastosowań sieci botnet jest wysyłanie spamu oraz innych zagrożeń za pomocą wiadomości e-mail (firma Trend Micro szacuje, że botnety są obecnie odpowiedzialne za około 90% wysyłanego spamu).

Strach dobrym narzędziem cyberprzestępców

Przestępcy internetowi wykorzystują strach przed infekcją wirusami i oprogramowaniem szpiegującym, wmawiając użytkownikom (niezgodnie z prawdą), że ich komputery zostały zainfekowane, i oferując oprogramowanie zabezpieczające, które umożliwia rozwiązanie tego problemu. Jednakże takie oprogramowanie jest w rzeczywistości szkodliwe! W lipcu w spamie rozsyłanym przez NUWAR znalazło się łącze do darmowego filmu, w którym główną rolę grała Liv Tyler. Po kliknięciu tego łącza było wyświetlane okno informujące użytkownika o wystąpieniu „błędów w zabezpieczeniach” i sugerujące, że komputer został zainfekowany oprogramowaniem szpiegującym.

Znajdowała się tam także informacja o możliwości pobrania pliku o niewinnej nazwie (INSTALL_EN.EXE), który w rzeczywistości był wariantem robaka NUWAR. Pobranie tego pliku powodowało instalację kolejnych rodzajów NUWAR. Pod koniec lipca zanotowano podobne działania, zachęcające do pobrania fałszywego programu antywirusowego (np. kuszące użytkowników filmem z udziałem Angeliny Jolie).

Email, komunikatory, banery i …serwisy społecznościowe

W sierpniu, krótko po opublikowaniu poprawki przez firmę Microsoft, pojawił się spam pochodzący rzekomo od tej firmy, w którym zalecano użytkownikom instalację kolejnej, bardzo ważnej aktualizacji. Jednakże „poprawka” zawierała szkodliwe oprogramowanie — EXPL_ANICMOO.GEN. Był to exploit obecny w sieci już wcześniej.

Nowy rodzaj fałszywego oprogramowania zabezpieczającego rozprzestrzenia się nie tylko poprzez pocztę elektroniczną. W połowie sierpnia firma Trend Micro wykryła łącza do takich programów w aplikacjach komunikatorów oraz w prywatnych wiadomościach w serwisach społecznościowych.

Jak wygląda fałszywka

Jeden z alertów zawierał wyglądający na oficjalny komunikat, który ostrzegał użytkowników, że „w komputerze wykryto wirusy” i informował o dostępności nowej aktualizacji bazy wirusów. Użytkownicy mieli do wyboru opcję „Aktualizuj teraz” lub „Przypomnij później”. Program „Antivirus 2008” wyświetlał przekonującą listę wirusów wykrytych po „przeskanowaniu systemu” użytkownika i zawierał ostrzeżenie „UWAGA! Liczba zainfekowanych plików: 34!!! (WARNING! 34 infections found!!!)”.

Jak działa fałszywka

Program stawiał użytkowników przed trudnym wyborem: „Wyeliminuj teraz wszystkie zagrożenia” czy „Kontynuuj pracę bez ochrony”. Następnie oprogramowanie doradzało wybór „wersji próbnej” jako wystarczającej do usunięcia zagrożeń oraz informowało o konieczności dokonania rejestracji w celu uzyskania pełnej wersji. W rzeczywistości oprogramowanie zawierało różne rodzaje koni trojańskich, z których jeden był wyposażony w zaawansowane funkcje graficzne umożliwiające wprowadzanie kolejnych alarmujących symptomów (np. modyfikację tapety tak, aby wyświetlany był obraz „Niebieskiego ekranu śmierci”).

Więcej o bezpieczeństwie w firmie

fałszywe antywirusy kradną

bezpieczenstwo — Thu, 02 Oct 2008 19:23:19 +0000

Od kilku tygodni cyberprzestępcy prowadzą kampanię o światowym zasięgu, której celem jest wyłudzenie pieniędzy od użytkowników Internetu oraz włączenie ich komputerów do bonetu. Przestępcy wykorzystują do tego fałszywe oprogramowanie antyszpiegowskie. Laboratoria G DATA Security Labs monitorują to zjawisko i ostrzegają użytkowników przed instalowaniem takich programów w swoich komputerach.

Laboratoria G DATA Security Labs odnotowały prawdziwą eksplozję spamu, oferującego darmowe programy antyszpiegowskie. Wielu użytkowników korzysta z „okazji”, instalując oprogramowanie w systemie.

Antywirus „z wkładką”
Atak zawsze przebiega według następującego schematu: za każdym razem, gdy internauta odwiedza stronę kontrolowaną przez przestępcę, widzi komunikat z zainstalowanego uprzednio programu o tym, że jego system jest zainfekowany. W rzeczywistości komputer jest zainfekowany od momentu zainstalowania w komputerze fałszywego oprogramowania antyszpiegowskigo.

Następnie oprogramowanie przeprowadza „kompletne skanowanie systemu” , co zwykle kończy się wykryciem licznych „infekcji”. Program znajduje szkodliwe programy, ponieważ… sam wcześniej tworzy na dysku pliki, które oznacza jako wirusy. Dzięki temu fałszywy program ochronny znajduje zagrożenia nawet w czystych systemach.

Po wykryciu zagrożenia program proponuje rejestrację lub zakup pełnej wersji, która umożliwia usunięcie „zagrożeń”. Zakupu można dokonać na profesjonalnie przygotowanej stronie internetowej. W rzeczywistości „kupując” program, użytkownik przekazuje przestępcom szczegóły swojej karty kredytowej.

Dotychczas zidentyfikowano ponad 1000 różnych odmian konia trojańskiego Trojan-Downloader.FraudLoad, który instalowany jest w systemie wraz z fałszywym programem zabezpieczającym. Jego działanie polega na ściąganiu do systemu innych wirusów oraz włączeniu komputera do sieci bonetu, umożliwiającej przestępcom wysyłanie z komputera użytkownika spamu oraz przeprowadzanie ataków na inne systemy.

Przestępcy rejestrują wiele domen internetowych pod profesjonalnie brzmiącymi nazwami, na których sprzedawane są ich „programy antywirusowe”. Używają przy tym różnych – podobnych – pisowni, dzięki czemu w przypadku zamknięcia strony przez władze po prostu zastępują domenę inną, podobnie brzmiącą – w ten sposób gra toczy się w zasadzie bez końca. Proceder ten może wskazywać także na to, iż w proceder mogą być zamieszane firmy dostarczające Internet oraz rejestrujące domeny.

Ralf Benzmüller, menadżer G DATA Security Labs:

“Cyberprzestępcy inwestują dużo czasu i energii w najbardziej obiecujące przedsięwzięcia. Obserwowana obecnie kampania jest nastawiona na osiągnięcie maksymalnego zysku – pomysły, które nie przynoszą efektu są natychmiast porzucane. Gwałtowny jej rozwój wskazuje na to, że idea fałszywych programów ochronnych dobrze sprawdza się w praktyce – ofiarami są najczęściej użytkownicy, którzy z jednej strony mają świadomość zagrożeń, jakie czyhają w Internecie, a z drugiej – chcą zaoszczędzić na profesjonalnych rozwiązaniach. Żerując na tej dość powszechnej motywacji cyberprzestępcy skutecznie atakują niezabezpieczonych użytkowników.”

Cztery porady od ekspertów G DATA

1. Aktualizuj programy ochronne do komputera. Przedawnione wersje próbne programów antywirusowych nie chronią komputera przed tego typu atakami
2. Korzystaj z filtrów http, które są zintegrowane w pakietach ochronnych. Zabezpieczają one przed infekcjami bezpośrednio ze strony internetowej. Nigdy nie wyłączaj tych modułów
3. Aktualizuj system operacyjny i przeglądarkę
4. Zalecamy zablokowanie w przeglądarce uruchamiania skryptów Java, Active-X i innych aktywnych komponentów, często wykorzystywanych do ataków ze strony internetowej.

Uwaga na fałszywe strony YouTube

bezpieczenstwo — Tue, 16 Sep 2008 18:54:58 +0000

Eksperci laboratorium PandaLabs ostrzegają przed fałszywymi stronami YouTube, służącymi do rozpowszechniania szkodliwego oprogramowania. Są one tworzone przy pomocy aplikacji YTFakeCreator. “Witryny wykorzystywane przez cyberprzestępców niezwykle trudno odróżnić od prawdziwych, więc infekcje dotykają coraz większej liczby użytkowników” - alarmuje Maciej Sobianek, specjalista ds. bezpieczeństwa Panda Security Polska.

Scenariusz infekcji wygląda następująco: cyberprzestępca rozsyła e-maile z informacją na temat interesującego filmu (może to być erotyka, pojawiły się też wiadomości dotyczące śmierci znanych osób). Kliknięcie zawartego w listach odsyłacza skutkuje przekierowaniem na fałszywą stronę do złudzenia przypominającą serwis YouTube.

Nieświadomi podstępu użytkownicy dowiadują się tam, że odtworzenie filmu jest niemożliwe, ponieważ w ich systemie brakuje jakiegoś kodeka lub aktualizacji Adobe Flasha. Dlatego proponuje się im pobranie brakującego elementu, jednak zamiast potrzebnej aplikacji na komputer trafia złośliwe oprogramowanie.

Do tworzenia fałszywych stron cyberprzestępcy wykorzystują program YTFakeCreator. Pozwala on samodzielnie opracować komunikat o błędzie, który pojawi się na witrynie, określić, po jakim czasie ten komunikat będzie prezentowany, wprowadzić odsyłacz do zainfekowanego pliku, który zostanie pobrany na komputer ofiary, jak również stworzyć fałszywy profil YouTube. Tworząc taki profil, napastnik uwiarygodnia swoje działania w serwisie, przekonując internautów, że film, który wzbudził ich zainteresowanie, został udostępniony przez prawdziwego użytkownika.

Cyberprzestępca może też określić rodzaj złośliwego kodu, który będzie rozpowszechniany za pomocą fałszywych stron – do wyboru są wirusy, robaki, oprogramowanie adware, trojany itp. Więcej informacji na temat programu YTFakeCreator można znaleźć na blogu (http://pandalabs.pandasecurity.com/archive/Making-bad-things.aspx) prowadzonym przez inżynierów laboratorium PandaLabs.