Lažni antivirus sa tehničkom podrškom

Tekstovi o zaštiti, 13.07.2010, 00:30 AM

Lažni antivirus sa tehničkom podrškom

Može se reći da smo ovim videli sve. Potpuno je nezamislivo da maliciozni programi (malware) imaju i tehničku podršku, ali nas je Nicolas Brulez, ekspert Kapsersky Lab-a svojim nedavnim postom na Kaspersky blogu ubedio u suprotno. Prenosimo njegov tekst u celini.

“Pisali smo više puta o lažnim antivirusnim programima, objašnjavajući kako se mehanizmi pretrage zloupotrebljavaju korišćenjem Black Hat Search Engine Optimization tehnika za preusmeravanje korisnika interneta ka sajtovima sa lažnim antivirusnim programima.

Nedavno smo uočili širenje jednog lažnog AV programa opremljenog sa “Online Support” dugmetom (“Online podrška”). Pogledajte gornji desni ugao na slici ispod:

Pritisak na navodno “Support” dugme odvodi vas na chat uživo sa tehničkom podrškom ovog “antivirusnog” programa. Zanimalo nas je da li bot (zombi) mreža odogovara na pitanja korisnika na osnovu ključnih reči ili stvarni ljudi - i zamislite, ispostavilo se da su u pitanju ljudi.

Oni nude tehničku podršku putem chat-a, ali i preko email-a i telefona. Email je posebno koristan ako ne govorite engleski jezik. U toku chat-a uživo biće vam saopšteno (na engleskom) da će vam tehnička podrška poslati email na vašem maternjem jeziku ali pošto prethodno ostavite svoju email adresu:

Ako ste zarazili svoj kompjuter lažnim antivirusnim programom kojeg ste pokupili koristeći pretragu (opet, dakle, Black Hat SEO) i povezali se sa tehničkom podrškom, od vas će se tražiti da odgovorite na pitanje za koji antivirusni program želite da dobijete podršku.

Kada im budete odgovorili na ovo, oni će vam obezbediti 'Free Trial' verziju (dakle, probnu verziju programa) koja će ukloniti uzročnike infekcije koje je pronašao onaj prvi “antivirusni” program (oni imaju veoma slične nazive).

Probna verzija (trial version) programa izgleda ovako:

Ovaj program ima isti korisnički interfejs, ali nešto drugačiji naziv - sa istim “Online support” dugmetom.

Lažni antivirusni program će koristiti jezik vašeg operativnog sistema. Tako da ako koristite francusku verziju Windows XP na primer, korisnički interfejs lažnog antivirusa će biti na francuskom, što dodatno celu stvar čini još ubedljivijom.

Dok smo pričali sa takozvanom tehničkom podrškom, otkrili smo da je prvi lažni antivirusni program samo besplatni skener ('Free Scanner'), dok je “probna verzija” programa potpuno funkcionalan program - ali zamka leži u činjenici da probni period traje samo jedan dan.

Dodatno, probna verzija neće ukloniti prvi proizvod, pa i oni imaju posebne uninstaller-e:

Ovo na slici iznad je Uninstaller. Imaju ga za svaki proizvod kojeg “prodaju”. Naravno, on neće ukloniti lažni antivirus sa vašeg kompjutera, bar delimično. Zavisno od uninstaller-a, možete završti sa nekim fajlovima ostavljenim na vašem računaru, što može biti mogućnost za ponovno pokretanje lažnog antivirusnog programa - ko zna? Kompjuter nije vraćen u originalno stanje posle čišćenja; neke od promena u registry-ju su i dalje prisutne.

Kada ste očistili kompjuter, od vas traži učešće u online istraživanju:

Čini se da ovi momci veoma drže do mišljenja kupaca i čine sve što je u njihovoj mogućnosti da obezbede najbolje moguće proizvode i usluge ☺ .

Tokom razgovora sa njihovom tehničkom podrškom, pokušao da se uverim da ne razgovaram sa pametnim bot-om. Jedna od stvari koje sam uradio tim povodom bila su veoma jednostavna matematička pitanja:

Želeli smo da otkrijemo lokaciju na kojoj se nalaze ljudi koji stoje iza ove “tehničke podrške”. Naše su pretpostavke da se najverovatnije radi o Ukrajini.

Dok smo izazivali ljude iz tehničke podrške da nam dokažu da nisu bot-ovi, desilo se nešto zanimljivo.

Zatražio sam od njih smajli kako bih se uverio da je reč o stvarnoj osobi a ne o bot-u:

Znao sam da će koristiti uobičajen smajli, pa sam zatražio drugačiji, “duži” smajli, a objasniću vam i zašto.

Razgovarajući sa kolegama u Kaspersky Lab, otkrio sam da u Rusiji (a posle pretraživanja društvenih mreža, ispostavilo se da je slično i u Ukrajini), mnogi chat-eri se virtuelno, naravno, smeju bez “očiju” (“:”). Tako nešto nisam video nigde drugde. Za dugačak smajli, potrebno je ovo - “:))))”, ali u ovim zemljama, “oči” se izostavljaju i dobija se ovako nešto “))))”. Ovo je potvrdilo naše pretpostavke o lokaciji na kojoj se nalazi “tehnička podrška”.

Proverio sam njihovu podršku u 4h ujutro, i zaista su odgovarali na pitanja, dokazujući time svoju 24/7 uslugu podrške."

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako da prepoznate da vam je računar zaražen malverom

Kako da prepoznate da vam je računar zaražen malverom

Uključujete računar i čekate. Čekate. I dalje čekate. Najzad se pojavljuje desktop ali stvari ne izgledaju mnogo bolje. Internet je spor, program... Dalje

Evo šta treba da uradite ako neko pokušava da vam hakuje nalog

Evo šta treba da uradite ako neko pokušava da vam hakuje nalog

I to se dešava... Vaš nalog je napadnut. Vidite zahtev za promenom lozinke, email ili SMS obaveštenje o pokušaju neovlašćenog prijavljivanja na ... Dalje

Kako funkcioniše ruski finansijski sajber kriminal (2. deo)

Kako funkcioniše ruski finansijski sajber kriminal (2. deo)

Grupe koje se bave sajber kriminalom organizovane su na sličan način kao i bilo koja IT kompanija. Ključne uloge u tim grupama igraju programeri ko... Dalje

Kako funkcioniše ruski finansijski sajber kriminal (1. deo)

Kako funkcioniše ruski finansijski sajber kriminal (1. deo)

Rusko sajber podzemlje, kome pripadaju sajber kriminalci iz Ruske Federacije i nekih država bivšeg SSSR-a, pre svih, iz Ukrajine i baltičkih zemalj... Dalje

Kako da se zaštitite od fišinga

Kako da se zaštitite od fišinga

Ako malo razmislite, mala je razlika između pecanja na internetu poznatog pod nazivom fišing, i stvarnog pecanja. Jedna od glavnih razlika je to št... Dalje