Lažni antivirusi

Tekstovi o zaštiti, 24.12.2009, 01:14 AM

Mnogo puta se pisalo o programima koji se pretvaraju da su nešto što nisu. Najozloglašenija su lažna antivirusna rešenja - programi koji objavljuju poruke da je ciljani kompjuter zaražen, čak i ako nije. Ovi programi niti skeniraju niti čiste kompjutere, i ustvari su i pravljeni sa ciljem da ubede korisnike da su im kompjuteri izloženi opasnosti i preplaše ih dovoljno da kupe „antivirusni“ program. Ovakvi programi su često označeni kao 'scareware'. Kaspersky Lab ih je svrstala kao 'FraudTool' (prevarantsku alatku), podgrupu 'RiskWare' grupe.

новое окно
FraudTool.Win32.SpywareProtect2009: glavni prozor

Ovakvi programi su veoma široko rasprostranjeni a cyber-kriminalci ih sve više koriste. Dok je Kaspersky Lab otkrio oko 3.000 lažnih antivirusnih programa u prvoj polovini 2008. godine, više od 20.000 uzoraka je identifikovano u prvoj polovini 2009. godine.

Uobičajene tehnike distribucije

Kao prvo, kako lažni antivirusni programi završavaju na ciljanom kompjuteru? Oni se šire korišćenjem istih metoda kojima se šire i drugi štetni programi: na primer, Trojan-Downloader može tajno da download-uje ovakve programe, ili ranjivosti na kompromitovanim/zaraženim sajtovima mogu biti iskorišćene za izvođenje 'drive-by download'.

Mnogo češće, međutim, ovakve programe download-uju korisnici, cyber-kriminalci koriste namenske (Hoax) programe ili reklame da bi prevarili korisnike da upravo urade ovakav download.

Hoax progami su još jedna vrsta prevarantskog softvera: oni su stvoreni sa namerom da ubede korisnike da im je potreban download čudesno delotvornog antivirusnog rešenja, a glavna funkcija im je instaliranje lažnog antivirusnog rešenja na ciljanom kompjuteru čak i ako korisnik odbije ponudu.

Hoax programi bivaju download-ovani na ciljane kompjutere bilo korišćenjem backdoor-a, bilo iskorišćavanjem ranjivosti na web sajtu. Čim se takav program instalira, pojavljuje se upozorenje o navodnom postojanju višestrukih grešaka, oštećenom registru ili se pak pojavljuje navodna poruka da su vam ukradeni poverljivi podaci.

Poruka koju objavljuje Hoax.Win32.Fera

Snimak iznad je lažna poruka upozorenja koja sugeriše korisniku da je kompjuter zaražen spyware-om. Ona podstiče korisnika da instalira 'spyware remover' kako bi spyware uklonio iz svog računara. Napad će biti realizovan download-om i instaliranjem lažnog antivirusnog programa čak i ako korisnik klikne opciju „No“.

Cyber-kriiminalci takođe koriste internet oglašavanje kako bi distribuirali lažna antivirusna rešenja. Mnogi sajtovi hostuju banere informišući korisnike o novom „čudesnom“ proizvodu koji će rešiti svaki problem sa štetnim softverom. Ovi trepćući baneri ili iritirajuće treperavi oglasi za „nova antivirusna rešenja“ mogu se naći čak i na legitimnim sajtovima. Dok pretražuje mrežu, u prozoru browser-a korisnika mogu se pojavljivati 'pop-up' prozori nudeći besplatan download antivirusnog programa. 'Screenshot' na slici ispod prikazuje primer takve vrste pop-up-a.


Primer pop-up prozora u Operi

Obično ovakvi pop-up prozori ne ostavljaju izbor korisniku zbog toga što postoji samo jedna opcija (jedno dugme) - bilo da je u pitanju „OK“ ili „YES“. Čak i ako postoji dugme sa oznakom „NO“ ili „Cancel“, lažni antivirusni program će biti download-ovan bez obzira na koje dugme korisnik klikne.

Kaspersky Lab je nedavno identifikovao tehniku za dinamični download lažnih antivirusnih programa. Evo jednog primera: script na ********.net/online-j49/yornt.html generiše preusmeravanje na drugu adresu, http://******.mainsfile.com.com/index.html?Ref='+encodeURIComponent (document.referrer). Generisana adresa zavisi od toga kako je korisnik stigao na stranu koja sadrži script (urađeno uz pomoć document.referrer), ili, drugim rečima, koji je sajt korisnik prethodno video. U ovom slučaju preusmeravanje vodi do http://easyincomeprotection.cn/installer_90001.exe, stranu koja hostuje novi lažni antivirusni program, FraudTool.Win32.AntivirusPlus.kv.

Dinamična disribucija omogućava cyber-kriminalcima da sakriju IP adresu strane sa koje se download-uje štetan softver. To dodatno otežava antivirusnim kompanijama pribavljanje fajlova koje treba otkriti i analizirati. Mnogi crvi i virusi koriste upravo ovakav metod distribucije.

Na primer, Net-Worm.Win32.Kido.js (koristi se za stvaranje bot mreža) angažuje DDNS tehnologiju, i takođe download-uje i instalira lažni antivirusni program koji se naziva FraudTool.Win32.SpywareProtect2009.s. Ovo pokazuje da ista grupa pisaca štetnih programa je verovatno odgovorna i za mrežu crva i za lažni antivirus, i da koristi ove prve kako bi bez poteškoća instalirala antivirusni program.

Kako preplašiti korisnika i naterati ga na akciju

Trebalo bi da je sada jasno kako se lažna antivirusna rešenja infiltriraju u sistem. A sad je vreme da vidimo šta ovi programi rade jednom kada se nađu unutar sistema.

Prvi korak je skeniranje sistema. Dok vrše skeniranje, tokom celog procesa skeniranja, lažni antivirusni programi objavljuju poruke čiji je redosled pažljivo uređen: na primer, obaveštenje o grešci u Windows-u sledi poruka koja govori korisniku o štetnom programu koji je otkriven, što je opet praćeno ponudom da korisnik instalira antivirusni program. Ponekad, kako bi sve ovo izgledalo još ubedljivije, fajl će biti instaliran na računaru zajedno sa lažnim antivirusnim programom; ovaj isti fajl će kasnije biti „detektovan“ tokom procesa „skeniranja“.

Poruke koje objavljuju lažni antivirusni programi nude mogućnost da sistemske greške budu ispravljene i da sistem bude očišćen; međutim, ta usluga nije besplatna. Naravno, što je legitimniji softver koji se nudi, to je veća šansa da će cyber-kriminalci dobiti novac u zamenu za svoje lažna antivirusna rešenja.

Evo dva primera lažnog antivirusa: FraudTool.Win32.DoctorAntivirus i FraudTool.Win32.SmartAntivirus2009.


Rezultati „skeniranja“ sistema DoctorAntivirus-om
2008 (levo) i Smart Antivirus-om 2009 (desno)

Kao što pokazuje slika iznad, oba programa „otkrivaju“ nepostojeće probleme na kompjuteru sa Windows XP Professional Service Pack 2 i zatim objavljuju poruke koje govore da aktivacija proizvoda i čišćenje kompjutera od infekcije mora biti plaćeno. DoctorAntivirus je otkrio 40 backdoor-ova, Trojanaca, spyware programa i objavio je upozorenja da to može dovesti do različitih vrsta problema u sistemu. SmartAntivirus2009 je otkrio veći broj problema i takođe upozoravao da oni predstavljaju pretnju sistemu.

Posle klika na „Remove“ („ukloni“, „izbriši“) dugme u oba slučaja, pojavljuje se prozor tražeći od korisnika da kupi lažni proizvod. Ako korisnik pristane, predlaže mu se nekoliko načina plaćanja - PayPal, American Express, itd. Posle plaćanja, korisnik dobija registracioni kod. Oba ova lažna antivirusna programa koriste procedure verifikacije koda kako bi se osigurali od situacije da slučajno odabrani uneseni znakovi budu oni koji su i traženi. Ova tehnika se koristi kako bi programi izgledali zakonitiji. Međutim, kod koji je poslat retko je ispravan, i neki lažni antivirusni programi čak automatski obaveštavaju korisnika da je kod netačan u nadi da će sledeći put korisnik platiti program.

Aktivacija FraudTool.Win32.DoctorAntivirus (levo)
i FraudTool.Win32.SmartAntivirus 2009 (desno)

Prozori za aktivaciju DoctorAntivirus-a i SmartAntivirus-a 2009 su skoro identični. Čini se da developeri ovih programa koriste generator koda koji pravi minimalne promene teksta/izgleda poruke dok ostatak ostaje nepromenjen.

Po pravilu, čim je besplatna probna verzija programa navodno otkrila 'viruse' (ali ne i uklonila), pojavljuje se poruka da kompletna verzija treba da se preuzme (pošto prethodno bude plaćena). Ovakve poruke često obećavaju visoke performanse proizvoda kao i tehničku podršku koju korisnik navodno dobija onda kada proizvod bude plaćen.


Aktivacijska poruka FraudTool.Win32.AntiMalware2009

Sledeća slika pokazuje aktivacijski prozor Smart-Anti-Spyware, lažni antivirus, očigledno ruskog porekla. Da bi se program aktivirao, treba poslati SMS na kratak broj: metod koji se najčešće koristi u iznudama na ruskom internetu.

Smart-Anti-Spyware aktivacijski prozor

[Prevod: Smart-Anti-Spyware - korisnikov najbolji prijatelj! Da bi ste se pobrinuli za svoj računar i optimizovali njegov rad morate kupiti kompletnu verziju. Pošaljite SMS poruku sa tekstom +q007 na broj 1171 i unesite kod koji budete potom primili u poruci u ovo polje]

Proizvodnja štetnog softvera

Kako je ranije navedeno, neke od poruka koje objavljuju različiti lažni antivirusni programi su veoma slične, ako ne i identične, pa je veoma verovatno da autori ovih programa koriste isti generator koda kako bi ih kreirali.

Lažni antivirusni programi često se bore protiv pravih antivirusnih rešenja istim mehanizmima kao i polimorfni crvi i virusi: glavno telo programa je šifrirano (enkripcija) tako da sakrije znakove i linkove. Kako bi se osiguralo ispravno funkcionisanje programa, dinamični kod unutar fajla dešifrira telo štetnog programa pošto je prethodno dostavio informacije.

FraudTool.Win32.MSAntivirus.cg i FraudTool.Win32.MSAntispyware2009.a su tipični lažni antivirusni programi koji primenjuju opisani postupak. Iako ova dva programa pripadaju različitim familijama, oba su zaštićena istim polimorfnim dekripterima. Snimci ispod prikazuju fragmente koda oba lažna antivirusna programa koji sadrže dekriptere. Struktura fajlova je istovetna.

новое окно
FraudTool.Win32.MSAntivirus.cg: polimorfni dekripter fragmenta

новое окно
FraudTool.Win32.MSAntispyware2009.a: polimorfni dekripter fragmenta

Korišćenje 'off-the-shelf' rešenja znači da mnogo sličnih proizvoda može biti napravljeno veoma brzo, a takođe pomaže i da se zaobiđe klasična signatura antivirusnih programa. Sada postoji proizvodna linija lažnih antivirusnih programa; osim toga, ovi programi se razvijaju, sa telom programa koje se usavršava kako bi se izbeglo otkrivanje antivirusnim signaturama.

Pored toga, veoma je teško otkriti lažne antivirusne programe korišćenjem heurističnih signatura baziranim na bihejvioralnoj analizi. To je zato što je veoma teško napraviti razliku između lažnog programa koji je otvoren u posebnom prozoru od legitimne aplikacije. Zbog toga, ako lažni program nije pakovan nezakonitim pakerom, njegov štetan status može biti utvrđen samo manuelnom analizom, čineći zadatak otkrivanja novih lažnih antivirusnih programa znatno težim.

Statistike govore same za sebe

Grafik na slici ispod pokazuje porast lažnih antivirusnih rešenja od 2007. godine.

новое окно

Broj novih signatura otkrivenih lažnih antivirusnih programa (po mesecima, 2007-2009)

Grafikon pokazuje da je broj identifikovanih lažnih antivirusnih programa rastao u prvoj polovini 2008, iako je krajem godine taj rast bio usporen. Međutim, maja 2009. beleži se ponovni uspon ovog broja.

Glavni razlozi za ovaj ogroman porast broja lažnih antivirusnih programa tokom ove poslednje godine su sledeći: ovakve programe je veoma lako napraviti; sistem distribucije ovih programa je veoma efektivan; cyber-kriminalci mogu za kratko vreme ostvariti veliki profit.

Trentno ima 318 različitih familija lažnih antivirusnih programa koji su poznati Kaspersky Lab-u. Tabela ispod daje spisak top dvadeset najčešćih lažnih antivirusnih familija; mnogi od njih su otkriveni 2007. godine. Prvih pet familija čine 51,69% svih detektovanih lažnih antivirusa. U imenima ovih štetnih programa dodali smo nazive antivirusnih programa koje ovi lažni antivirusni programi oponašaju.

Family

Number of signatures

not-a-virus:FraudTool.Win32.SpywareGuard2008

4652

not-a-virus:FraudTool.Win32.XPAntivirus

4519

not-a-virus:FraudTool.Win32.SystemSecurity

2090

not-a-virus:FraudTool.Win32.XpPoliceAntivirus

1950

not-a-virus:FraudTool.Win32.AwolaAntiSpyware

1370

not-a-virus:FraudTool.Win32.PC-AntiSpy

1356

not-a-virus:FraudTool.Win32.VirusIsolator

1134

not-a-virus:FraudTool.Win32.WinSpywareProtect

855

not-a-virus:FraudTool.Win32.SpyNoMore

758

not-a-virus:FraudTool.Win32.Agent

575

not-a-virus:FraudTool.Win32.AntivirusXPPro

434

not-a-virus:FraudTool.Win32.AntiVirusPro

374

not-a-virus:FraudTool.Win32.AntiSpyware

344

not-a-virus:FraudTool.Win32.AntivirusPlus

338

not-a-virus:FraudTool.Win32.SpywareStop

312

not-a-virus:FraudTool.Win32.WinAntiVirus

278

not-a-virus:FraudTool.Win32.Antivirus2009

227

not-a-virus:FraudTool.Win32.BachKhoa

224

not-a-virus:FraudTool.Win32.AdvancedAntivirus

223

not-a-virus:FraudTool.Win32.BestSeller

214

not-a-virus:FraudTool.Win32.AntiSpywareBot

206

новое окно

Procenat novih signatura za Hoax i FraudTool programe u ukupnom broju signatura
(po mesecima, 2007-2009)

Grafikon iznad pokazuje da je rast broja programa napravljenih radi prevare korisnika više određen porastom broja lažnih antivirusnih programa nego porastom ukupnog broja otkrivenih programa.

Novi lažni antivirusni programi imaju nešto zajedničko: Kaspersky Lab svakodnevno otkriva između 10 i 20 novih Hoax ili FraudTool programa. Ovo se činilo neverovatnim pre dve ili tri godine kada se novi štetan program ove vrste pojavljivao jednom u dva dana.

Načini zaštite

Infekcija lažnim antivirusnim programom neće oštetiti ciljani kompjuter, ali cyber-kriminalci koriste ove programe sa namerom da iznude novac od neiskusnih korisnika. Ubedljiv interfejs, nekoliko zabrinjavajućih poruka o infekciji i podsticaj da se kupi „proizvod“, lako mogu ubediti nekoga da potroši novac. Postoji nekoliko jednostavnih pravila koja, ukoliko ih se držite, bi trebalo da vas obezbede od situacije da završite plaćajući lažni antivirusni program.

Ukoliko pronađete nepoznati antivirusni program na svom kompjuteru, proverite da li proizvođač/prodavac ima svoj zvanični sajt i tehničku podršku. Ako to nije slučaj, možete biti sigurni da je reč o lažnom antivirusnom programu.

Zakoniti programi pravljeni za suzbijanje štetnog softvera nikada neće najpre skenirati vaš računar a potom tražiti novac za svoju aktivaciju. Nemojte nikad plaćati program koji radi sledeće: instalira "autentično" antivirusno rešenje "poznate" antivirusne kompanije i koristi ga za navodno skeniranje i čišćenje vašeg kompjutera.

Treba kliknuti samo na poruke legitimnog antivirusnog rešenja instaliranog na kompjuteru. Ignorišite svaku poruku o infekciji koja se pojavljuje iznenada dok pretražujete internet. Nemojte kliktati na pop-up prozore čak i ako nisu blokirani zaštitom koju ima vaš browser ili drugim zaštitinim rešenjem. Ako poštujete ova pravila, u 99% slučajeva lažni antivirusni program neće biti u mogućnosti da uđe u vaš kompjuter.

Zaključak

Nažalost, programi napravljeni sa ciljem iznuđivanja novca postaju sve uobičajeniji. Umesto povremenih lažnih antivirusnih programa, sada postoji neprekidan priliv ove vrste softvera. Cyber-kriminalci razvijaju ove štetne programe, menjajući sve, od stepena i metoda distribucije do tehnika za izbegavanje antivirusne detekcije.

Verovatno će dalji tok razvoja ovih programa biti fokusiran na tehnologije kojima se može zaobići antivirusna detekcija. Broj ovih programa će najverovatnije rasti kao i broj korisnika koje će ovakvi programi uspeti da prevare.

Rastuća popularnost lažnih antivirusnih rešenja među cyber-kriminalcima dokaz je da je ovo veoma isplativ posao. Taktike zastrašivanja korisnika povećavaju verovatnoću uspeha. Još jednom, naša preporuka je instaliranje zakonitog antivirusnog rešenja. Na ovaj način možete biti sigurni da vaš računar ima pouzdanu zaštitu i da vaš novac nije bačen uzalud.

Članak preuzet sa www.viruslist.com


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako da prepoznate da vam je računar zaražen malverom

Kako da prepoznate da vam je računar zaražen malverom

Uključujete računar i čekate. Čekate. I dalje čekate. Najzad se pojavljuje desktop ali stvari ne izgledaju mnogo bolje. Internet je spor, program... Dalje

Evo šta treba da uradite ako neko pokušava da vam hakuje nalog

Evo šta treba da uradite ako neko pokušava da vam hakuje nalog

I to se dešava... Vaš nalog je napadnut. Vidite zahtev za promenom lozinke, email ili SMS obaveštenje o pokušaju neovlašćenog prijavljivanja na ... Dalje

Kako funkcioniše ruski finansijski sajber kriminal (2. deo)

Kako funkcioniše ruski finansijski sajber kriminal (2. deo)

Grupe koje se bave sajber kriminalom organizovane su na sličan način kao i bilo koja IT kompanija. Ključne uloge u tim grupama igraju programeri ko... Dalje

Kako funkcioniše ruski finansijski sajber kriminal (1. deo)

Kako funkcioniše ruski finansijski sajber kriminal (1. deo)

Rusko sajber podzemlje, kome pripadaju sajber kriminalci iz Ruske Federacije i nekih država bivšeg SSSR-a, pre svih, iz Ukrajine i baltičkih zemalj... Dalje

Kako da se zaštitite od fišinga

Kako da se zaštitite od fišinga

Ako malo razmislite, mala je razlika između pecanja na internetu poznatog pod nazivom fišing, i stvarnog pecanja. Jedna od glavnih razlika je to št... Dalje