Falešné antiviry
Hackeři a internetoví podvodníci mají nový hit – falešné antivirové programy. Tento trik dovedli do takové dokonalosti, že s odlišením falešných a pravých antivirů mají problém i odborníci.
CLAUDIO MÜLLER, PETR KRATOCHVÍL
Plocha Windows zčerná, na obrazovce se objeví blikající okna viru, a chvíli poté vám neznámý antivir nabízí řešení tohoto problému. To je jeden z nejčastějších scénářů používaných v poslední době kyberzločinci. Neznámým "dobrodincem" je však tzv. falešný antivir, často také označovaný jako "rogueware" nebo "fake AV". Zajímavé je i to, že zatímco v minulosti byly tyto podvodné programy "nabízeny" zadarmo a hackeři vydělávali především na ovládnutí PC a odcizení dat, nyní si za ně v celé řadě případů ještě nechají zaplatit. A to, že nejde o "drobné", naznačují odhady firmy McAfee, která předpokládá celkové škody stojící za "roguewarem" na více než 300 milionů dolarů. Jde zkrátka o jeden z perspektivních zdrojů příjmů internetové mafie.
Identifikace: Nejen vyskakovací okna
S falešnými "antiviry" mají zkušenost i opatrní uživatelé, kteří nepoužívají P2P sítě nebo nebrouzdají v rizikových částech internetu. Jak tedy dojde k napadení počítače? Prvním krokem k invazi do systému jsou infikované internetové stránky. V nich je skryt škodlivý kód, zneužívající bezpečnostní mezery v prohlížeči nebo v zásuvných modulech (například přehrávači Flash). Poté je do počítače stažen tzv. downloader nebo přímo příslušný malware. Další metodou je donucení uživatele ke stažení malwaru přímo – například jako falešného "videokodeku".
Pak začne malware v počítači pracovat – nejprve vypne aktivní bezpečnostní prvky (např. firewall) a poté začne plnit obrazovku falešnými virovými hlášeními nebo simulovat napadení virem. Dalším krokem je obvykle "bezplatná" prohlídka disku, která je neuvěřitelně rychlá a při které je nalezen velký počet "virů". Nakonec malware nabídne uživateli stažení (nebo zakoupení) "antiviru", který prý dokáže nákazu odstranit. Pak už je počítač zcela v rukou hackerů. Do počítače je nainstalován backdoor (pro snadnější ovládání PC), keylogger (pro monitorování aktivit uživatele) a obvykle i botnet – ten způsobí, že se uživatel stane součástí sítě rozesílající spam nebo šířící další malware.
Od vydírání k "pomáhání"
Dalo by se říci, že kořeny falešných antivirů jsou v tzv. ransomwaru – vyděračských nástrojích, které po infiltraci počítače zašifrovaly disk (nebo jeho části) a za dešifrování požadovaly po uživateli "výkupné". U falešných antivirů je postup podobný, avšak méně destruktivní, a na první pohled dokonce "přátelský". Pomocí celé řady "triků" (od neustále se objevujících oken "virů" až po pády systému) je uživatel donucen navštívit stránky falešného antiviru (který prý zaručeně pomůže) a zakoupit ho. V rámci přesvědčovací kampaně uživatel může dostávat i spam s nabídkou "kvalitních antivirů", nově se objevují i "odkazy" na Facebook nebo Twitter. Problémem je, že při řešení původní "nákazy" ve většině případů nepomůže ani na první pohled logické řešení – dotaz vyhledávači. Výsledky vyhledávání jsou totiž filtrovány a upravovány tak, aby se uživatel dostal na stránky falešných antivirů. Tyto weby jsou používány i k šíření samotné nákazy vedoucí k "nákupu antiviru". Přímo na těchto webech samozřejmě žádný škodlivý kód není, ten se objeví až na stránkách, na které je uživatel přesměrován. Tam je počítač infikován a opět začíná výše popsaný kolotoč, tlačící uživatele k nákupu…
Nepříjemným překvapením je skutečnost, že webové stránky falešných antivirů jsou profesionálně upravené a obsahují pravidelně aktualizovaná témata i rady pro uživatele, aby se tak dostaly ve výsledcích vyhledávání na přední místa. Nezřídka na nich najdete i falešná ocenění, fiktivní výsledky testů a obvykle i vysoké slevy. V některých případech mohli uživatelé narazit i na e-mailovou podporu nebo funkční (!) telefonní linku. Cena falešných antivirů se pohybuje mezi 40 a 130 USD (před slevou) a jen výjimečně je cena uváděna v eurech (což je další poznávací prvek falešného AV).
Detekce a odstranění
Rozpoznat infekci počítače malwarem (vedoucí k nákupu roguewaru) nebo aktivaci samotného falešného antiviru není těžké. Obvyklé je zablokování systémových obranných prostředků (aktualizace systému, správce úloh, windows defenderu), manipulace s výsledky vyhledávání a především blokování klasických antivirů (i jejich instalace).
Podstatně obtížnější je ale odstranění roguewaru. Za pokus stojí použití tzv. online skeneru, dá se však předpokládat, že tato aktivita bude blokována. Prvním krokem by tedy měl být pokus o identifikaci škůdce a posléze použití specializovaného softwaru (staženého na jiném počítači). Na našem DVD například najdete nástroj Kaspersky Virus Removal Tool, který by si měl poradit s těmi nejznámějšími zástupci kategorie "rogueware".
Pokud nebude tento krok úspěšný, nezbývá než odstranit škůdce ručně. Všechny důležité informace pro tuto činnost najdete na specializovaných webech (například RemoveIt. Info). Tam se dozvíte, které procesy ukončit nebo které položky v registrech smazat. Obvykle stačí odstranit několik základních kamenů malwaru a poté pomocí nainstalovaného antiviru dokončit vyčištění počítače.
On-line skenery:
www.eset.cz/eset-online-skener
housecall.trendmicro.com
security.symantec.com
Tipy pro odstranění:
removeit.info
www.bleepingcomputer.com
Pět nejnebezpečnějších falešných antivirů
1. MS ANTIVIRUS
Populární "rodina" MS Antivirus je charakteristická profesionálním vzhledem a blokováním aktivního virového skeneru. Tento rougueware se skrývá i pod názvy "System security" nebo "WinPC Defender".
2. TOTAL SECURITY
Rogueware známý jako "Total Security" kopíruje bezpečnostní varování přímo z Windows. Může také mazat ikony z plochy, zobrazovat černé pozadí pracovní plochy a zpomalovat systém.
3. INTERNET SECURITY 2010
Internet Security 2010 nejen obtěžuje varovnými zprávami, ale také pomocí speciálních DLL souborů blokuje oblíbené internetové stránky (například Facebook a YouTube), jejichž návštěvu umožní až po nákupu "plné verze" falešného antiviru.
4. ANTIMALWARE DEFENDER
Pro méně zkušeného uživatele je tento rogueware velmi těžké odlišit od originálního "Windows Defenderu" z dílen Microsoftu. Jakmile se dostane do počítače, neustále zobrazuje virová hlášení a navíc převezme kontrolu nad prohlížečem.
5. USER PROTECTION
Tato varianta "antiviru" se šíří v podobě falešných videokodeků, které jsou nabízeny přes infikované a upravené "videoweby". "User protection" také ovlivňuje výkon systému a často způsobuje systémové havárie.
Foto: Sken: Detekce virů objevující se v reálném čase na obrazovce mají uživatele donutit ke koupi falešné plné verze.
Foto: Předstíraná ochrana: Tento program prý nabízí kompletní ochranu uživatele před viry…
RYCHLÝ VZESTUP
Počet falešných antivirových programů za poslední dva roky prudce vzrostl. Jejich "malwarový" kód se neustále mění a každý program je na webu šířen v tisících různých verzích.
Počet známých "falešných antivirů"
2004 142
2005 124
2006 134
2007 138
2008 302
2009 689
ZDROJ: MCAFEE
Foto: Kamufláž: Webové stránky falešných antivirů často používají prvky podobné těm z webů skutečných antivirů, takže jejich odhalení není zrovna jednoduché.