Ostrzeżenia o fałszywej infekcji mogą być prawdziwym problemem

Michael Vana wiedział, że coś jest nie tak, kiedy zobaczył wyskakujące okienko z "Antivirus 2009" na środku ekranu. Dawny technik awioniki Northwest Airlines domyślił się, że straszne ostrzeżenie o infekcji systemowej było fałszywe, ale kiedy kliknął X, aby zamknąć okno, rozszerzyło się, wypełniając ekran. Aby się go pozbyć, musiał wyłączyć komputer.

Brzmi znajomo? Takie brzydkie sztuczki, mające na celu zmotywowanie i zakup fałszywych produktów antywirusowych, są bardziej powszechne niż kiedykolwiek. (Aby uzyskać poradę, jak postępować, jeśli zainstalowałeś fałszywy program antywirusowy na swoim komputerze, zobacz "Antivirus 2009: jak usunąć fałszywe oprogramowanie antywirusowe.") Ale mimo, że możesz rozpoznać takie ostrzeżenia jako fałszywe, możesz nie wiedzieć, że fałszywy ostrzeżenie może być czerwonym ostrzeżeniem o ukrytej infekcji złośliwym oprogramowaniem bota. Poznanie różnicy jest kluczowe.

"To już nie jest coś, o czym nawet mrugasz", mówi Christopher Boyd, starszy dyrektor ds. Badań nad złośliwym oprogramowaniem dla firmy ochroniarskiej komunikacji FaceTime Communications, z prośbami o pomoc w radzeniu sobie z tymi komunikatami ostrzegawczymi.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Zwiększona częstość występowania tych wyskakujących okienek jest spowodowana większą liczbą oszustów, którzy idą łatwymi pieniędzmi z podejrzanych programów partnerskich, które płacą ogromną część zysków - do 90 procent - dla każdej osoby, która omyłkowo forksuje pieniądze za fałszywy program, niezależnie od tego, co skłoniło go do zapłaty. Często zachętą jest złośliwa strona internetowa, która używa sztuczek JavaScript, aby wyrzucić kilka wyskakujących okienek, a nawet zmienić rozmiar okna przeglądarki, aby stworzyć coś, co wygląda jak prawdziwy skan antywirusowy.

Możesz osiągnąć taki poziom stronę, używając złego linku do wyszukiwania, takiego jak ten, który Boyd kliknął w darmową grę online Batman. Został przekierowany do witryny, która przejęła jego przeglądarkę, aby wyświetlić fałszywe skanowanie antywirusowe, które następnie wykryło (fikcyjne) infekcje krytyczne, które można naprawić, kupując fałszywy program antywirusowy.

Jeśli witryna przejęła tylko twoją przeglądarkę, "Nie martwcie się zbytnio: okna pop-up lub fałszywe okna skanera nie powodują trwałych uszkodzeń, mówi Boyd. Możliwe, że nie można zamknąć okna, tak jak Michael Vana, ale zazwyczaj można wywołać Menedżera zadań systemu Windows za pomocą Ctrl-Alt-Delete i zamknąć przeglądarkę w ten sposób. Czasami naciśnięcie Alt-F4 spowoduje jego wyłączenie.

"Aby to zrobić, [fałszywa strona] używa prawdziwego kodu i generalnie nie wykorzystuje dziury" - mówi Boyd. Dopóki nie uruchomisz programu i nie zainstalujesz pchniętego programu, nie zaszkodzi żadna rzeczywista.

Fałszywy antywirus oparty na botach

Niestety, w przeciwnym razie możesz przeciwdziałać fałszywemu programowi antywirusowemu.

Joe Stewart, dyrektor ds. Badań nad złośliwym oprogramowaniem w SecureWorks, firmie świadczącej usługi bezpieczeństwa dla firm, śledzi szkodliwe oprogramowanie dla botów. Przestępcy używają komputerów zainfekowanych botami, czasem gromadzą się w ogromne sieci (zwane botnetami) stu tysięcy lub więcej systemów, aby wysyłać spam na cały świat. Ale używają też botów do pobierania fałszywych programów antywirusowych i innego złośliwego oprogramowania na komputer ofiary.

"To sprawdzony sposób zarabiania na botnetach", mówi Stewart. "Prawie każdy, kto ma już wdrożony botnet, może potencjalnie spojrzeć na to jako sposób na zarobienie dodatkowych pieniędzy."

Według Stewarta, oszustki zarabiają te pieniądze, albo pobierając kogoś do pobrania rzekomej wersji próbnej fałszywego AV-a -oprzecięcie legalnej techniki sprzedaży oprogramowania - lub poprzez instalowanie tego oprogramowania za kulisami.

Po zainstalowaniu szkodliwy używa zwykle wysoce obciążających technik, takich jak zmiana tła pulpitu systemu Windows w celu ostrzeżenia o domniemana infekcja i wyświetlanie stałych innych ostrzeżeń, by popchnąć cię do zakupu pełnej wersji oprogramowania.

Być może wiesz, że nie pobierzesz fałszywego AV w odpowiedzi na fałszywe okno przeglądarki. Ale gdy zostaniesz poproszony o pobranie go przez złośliwego kontrolera, ukryty bot nigdy nie da ci szansy na zastosowanie twojego dobrego sensu.

Przestrzeganie podstawowych środków bezpieczeństwa, takich jak utrzymywanie aktualnego oprogramowania antywirusowego w dobrej wierze i ostrożność przy dołączaniu i pobieraniu wiadomości e-mail, pozwala znacznie zmniejszyć szanse zainfekowania botem lub innym złośliwym oprogramowaniem. Ale jeśli widzisz pop-upy lub inne fałszywe ostrzeżenia przed nieuczciwym AV na twoim komputerze, dobrze jest spróbować ustalić, czy pochodzi on z witryny, czy z rzeczywistego oprogramowania zainstalowanego przez bota (lub przez kogoś, kto korzysta z komputera).

Możliwości Niekończące się

Istnieje wiele odmian fałszywego oprogramowania, a taktyka oszustów jest różna, więc nie ma uniwersalnego wskaźnika, że ​​jest obecny. Ale uważaj na ostrzeżenia, które utrzymują się po ponownym uruchomieniu komputera, zwłaszcza jeśli widzisz je przed otwarciem przeglądarki. Oglądanie nieznanej ikony ostrzegawczej w zasobniku systemowym to kolejny zły znak, szczególnie jeśli nie można kliknąć prawym przyciskiem myszy i sprawić, że zniknie. A jeśli twoje tło pulpitu uległo zmianie, jesteś zdecydowanie zainfekowany fałszywym programem antywirusowym, mówi Boyd.

Jeśli chodzi o źródło tych śmieci, oto wskazówka. Jedna z odmian, którą przebadał Stewart, a następnie nazwana "Antivirus XP 2008", najpierw sprawdziłaby konfigurację systemu komputera, aby sprawdzić, czy znajduje się w kraju z wieloma etnicznymi Rosjanami. Sprawdzałby także Internet Explorera użytkownika pod kątem odwiedzin rosyjskiej wersji Google. Jeśli napotka na takie dowody, instalator natychmiast zrezygnuje, nie dotykając potencjalnej ofiary. Według Stewarta, to "wystarczy, aby zagwarantować, że rosyjskojęzyczni użytkownicy nie zobaczą instalacji programu Antivirus XP 2008". Ale użytkownicy Internetu spoza byłego bloku wschodniego powinni uważać.