Hirdetés

A Vírusok Varázslatos Világa 28. - Ipari forradalom



|

Ipari méreteket ölt a hamis antivírus szoftverek gyártása és terjesztése. Bár már volt szó róla, most ismét elő kell vegyük e témát.

Hirdetés

Sorozatunk 18. epizódját ott fejeztük be, hogy az orosz Bakasoftware egyik tagja nyilatkozott a hamis vírusirtóval kapcsolatos tevékenységük részleteiről. Az illető nem volt főnök a bandában, de részt vett a fejlesztési munkában, és a hamis fertőzésekkel riogató program egyik készítőjeként 158 ezer dolláros (mintegy 30 millió forintos) keresetet tehetett zsebre hetente. Ezzel már tudjuk is a miérteket: ez egy mocskos, de jól jövedelmező üzlet. Ha akkor úgy gondoltuk, hogy csak néhány ilyen ember, illetve banda van, akiktől még nyugodtan alhatunk, hét nagyon nagyot tévedtünk.

 

 

vvv28-fiktivo.jpg

A soha nem létezett és soha fejbe nem lőtt moszkvai spammer állítólagos haláláról hírt adó „blog” juthat erről az eszünkbe. Igaz, itt nem a pár napja foglalt domain mutat több hónapos „archívumot”, hanem simán előre dátumozva jelentetnek meg fiktív cikket. Lehet, hogy közben azt gondolják, aki még ezt is benézi, az meg is érdemli. Vegyük észre, hogy a bűnözőknek írni csak captcha-biztosítással lehet, ők maguk nem szeretnek botok által támadva lenni

 

 

Pénzért bármit

Az USA-ban több millió számítógép lett fertőzött ezzel a módszerrel, állapította meg többek közt a Symantec kiberbűnözésről szóló jelentése. Több százféle ilyen program létezik, és számuk napról napra emelkedik, sőt a csaló honlapot generáló webkészlet már árucikké vált.

 

 

vvv28-hamisnevek.jpg

Pár név a többezer variációból. Van egy névgenerátor, bedobják a hozzávalókat, és alul kijönnek a variációk: Soft Soldier, Trust Soldier, Trust Warrior, Soft Warrior, lehetőleg a jövő évi dátum, de hasonlíthat meglévő valós antivírus megoldás elnevezésére is

 

 

A Networkworld számolt be róla, hogy egy pay-per-install nevű weboldalon nyílt színen folyik a kártevőkkel történő üzletkötés. A virtuális piactér célja, hogy összehozza a potenciális megbízókat a botnetek alkotóival. Nem lepődtünk meg persze korábban sem azon, hogy a BBC hogyan és honnan jutott olyan könnyen botnet-vezérlésre alkalmas programhoz, hogyan béreltek ki egy ilyet – valószínűleg egyáltalán nem volt nehéz dolguk. De míg az ő akciójuk inkább a figyelemfelkeltést szolgálta, az átlagos kuncsaftok jelentős része persze nem ezért megy oda. Az árak a beszámoló szerint országonként változóak, egy 1000 tagú botnet 110 USD-t kóstál az Egyesült Királyságban, 60 USD ha mindez Olaszországban van, a franciaországi ezer gépért már csak 30 USD-t kell leszurkolni, és ugyanez Ázsiában mindössze 6 amerikai dollárba fáj. Biztonsági cégek szerint az ilyen kártékony kódok készítői Kelet-Európában, illetve a volt Szovjetunió területéről próbálnak meg ily módon jövedelemhez jutni.

 

 

vvv28-webwarning.png

A bejelentések nyomán a vírusvédelmi programok feketelistára teszik a kártevőterjesztő domaineket, így segítve a naprakész vírusirtóval böngésző felhasználókat. Persze a rossz fiúknak is van erre a válaszuk: egyre rövidül az az idő, amíg egy adott webcímet használnak, mielőtt másikra költöznének

 

 

Az egyik legkelendőbb árucikk jelenleg is a hamis antivírus program, ez most éppen 70 USD. Eric Chien (Symantec) szerint kevés az esély az ilyen ellenőrizetlen piacok bezárására, mert mindig megfelelő érinthetetlen tárhelyszolgáltatót találnak maguknak, illetve szükség esetén sűrűn költözködnek is.

 

 

vvv28-soknyelvu.jpg

Az ipari méretű csalás nem ismer országhatárokat, és nyelvi korlátokat sem. Angol, francia, német, olasz és orosz nyelvű weboldalt is elkészítettek a csaló készletben, így csak egy kattintás kell hozzá

 

 

Böngészés közben jön az „áldás”

Vicces látni, amikor egy fehér köpenyes hamis antivírus program az alternatív operációs rendszereken fertőzött DLL-eket fedez fel, és hogy Win32-es vírusokat is lel OS X, illetve Linux alatt. Ennek persze az az oka, hogy itt szó sincs valódi keresésről, hanem csak egy animáció fut le a szemünk előtt, állandóan azonos eredménnyel, ha elindítjuk a fertőzött weboldalt Ubuntu Linux vagy Snow Leopard alatt. A javascriptes ablakok meg egyre csak jönnek. Riasztó, hogy milyen agresszívan nyílnak ezek a popup ablakok, nagy számban, sűrűn és rendkívül idegesítően, a hétköznapi felhasználókat hidegrázósra ijesztően.

 

 

vvv28-kaptafa.jpg

Viccesen szokták mondani, hogy a tévéreklámokban a frissen mosott ruhák azért látszanak újnak, mert valóban újak. Nos, ennek analógiájára a hamis antivírusok azért látszanak hasonlónak, vagy éppen egyformának, mert pénzért árult generáló kitekkel készülnek egy kaptafára. A vásárlónak nem szükséges számítástechnikai programozónak lennie, elég, ha a befolyt pénz tisztára mosásához ért jól

 

 

Csilivili „antivírus” weblapok

Szőke nő, barna nő, fekete nő, és mindegyik ránk mosolyog. A Kft. zenekar albumának címét („Siker, pénz, nők, csillogás”) kölcsönözve a sort még kiegészíthetjük még a jól ismert szimbólumokkal és plecsnikkel is. Ahogy a használtautó-vásárlásnál mondani szokták: nemcsak az autót kell megnézni, hanem azt is, kitől vesszük. Nos, a teszt- és egyéb győzelmeket sugalló plecsnikkel is ez a helyzet, különösen, ha a domaint előző héten jegyezték be Kínában. Az „emberes” kép, reklám, weboldal pszichológiai hatása is megerősítő, pozitív. Van egy névgenerátor, bedobják a hozzávalókat, és alul kijönnek a variációk: Soft Soldier, Trust Soldier, Trust Warrior, Soft Warrior stb. Lehetőleg szerepeljen a névben a jövő évi dátum is, de hasonlíthat meglévő valós antivírus szoftver elnevezésére is, így lehet például „Windows Enterprise Defender” (l. BitDefender) vagy éppenséggel Smart Antivírus 2009 (az ESET Smart Security után). A vicces az egészben, hogy a többtucatnyi programnévhez tartozó domainregisztrációkat is folyamatosan, szépen, szervezetten oldják meg.

 

 

vvv28-sikernok.jpg

Szőke nő, barna nő, fekete nő, és mindegyik ránk mosolyog. Ahogy a használtautó-vásárlásnál mondani szokták, nemcsak az autót kell megnézni, hanem azt is, kitől vesszük. Nos a teszt- és egyéb győzelmeket sugalló plecsnikkel is ez a helyzet. Ha a domaint előző héten jegyezték be Kínában, akkor szerintünk a plecsnijét a kalapja mellé tűzheti

 

 

Az APWG (Anti-Phishing Working Group) 2009-es jelentése szerint csak az első félévben 485 ezer olyan mintát gyűjtöttek, amelyeket hamis biztonsági programként soroltak be. A dolog a szimpla bosszantó kategóriából vészesen növekvő léptékűvé vált, és ezt a helyzetet kezelni kell.

 

 

vvv28-support.jpg

Itt szemlátomást kihagyták a korábban bemutatott captcha-védelmet, de azért az jól látszik, a kérdezni szándékozó nyájas ügyfél bedobja az e-mail címét és nevét – Vaszilij pedig majd örül ennek, hiszen ő gyűjti a címeket –, a megrendelő aztán várhatja, hogy az ígért 24/7 terméktámogatás megérkezzen. Kicsit olyan „Királyfi, és te még hiszel a mesékben?”-érzésünk van. A megbízható, valódi vírusvédelmi cégek az adott országbeli elérhető telephellyel, postacímmel, nyilvános e-mail címmel és telefon-, faxszámmal nyújtják a legális technikai támogatást

 

 

How to remove?

Ősi dakota közmondás szerint „Ne telepíts olyan szoftvert a gépedre, amelynek nevére a Google-ben rákeresve csupa »How to Remove?« (Hogy lehet eltávolítani?) kezdetű találatot kapsz!” Van néhány olyan honlap, ahol viszont kimerítő részletességgel és dicséretes naprakészséggel vezetik az összes új hamis antivírus program letakarítási útmutatóit. Ilyen például a remove-malware.net, vagy a www.myantispyware.com. A mentesítés nehézségét fokozza, hogy nem ritka a rejtett rootkit-komponens sem.

 

 

vvv28-howtohegyek.jpg

Egy bölcs tanács: „Ne telepíts olyan szoftvert a gépedre, amelynek nevére a Google-ben rákeresve csupa »How to Remove?« kezdetű találatot kapsz!”

 

 

Sajnos a hamis antivírus programok készítői is alaposan dolgoznak. Ha megnézünk egy ilyen How to Remove leírást, számtalan „ragaszkodó” Registry bejegyzés, letiltott Regedit, blokkolt antivírus weblap, kéretlen állomány, különféle mappákban szétszórt kártevőmásolatok gondoskodnak arról, hogy a kivakarás minél nehezebb legyen. Az egyre újabb változatok is próbára teszik az antivírus motorok intelligenciáját, szó sincs minden valódi antivírus termék általi százszázalékos észlelésről, és mindig akad olyan új variáns, ami a korábbi sikeres detektálást kijátszva újra munkát ad a víruslaborosoknak.

 

 

vvv28-soft.jpg

Ha egy adott alkalmazás weboldala hajszálra olyan, mint a másiké, ennek is komoly kétségeket kellene ébresztenie a látogatókban. Persze a lépre menő 5 százalék sajnos nem profi, hanem átlagos felhasználó, aki nem néz se jobbra, se balra, hanem szépen bejárja a jól megtervezett és neki felállított „megijed, megörül, fizet” útvonalat

 

 

A jel hiánya is jel

A jogi problémák elkerülésére (hogy ne indítsanak ellenük kártevő-terjesztésért eljárást) néhány helyen már olyan weboldal is feltűnt, amelyikről nem lehet letölteni semmilyen szoftvert, csak egy üres ciklus fut le rendre. Nincs letölthető, analizálható kártevő, nem lehet őket hamis vagy rossz minőségű biztonsági program terjesztéséért okolni. Viszont így is megmaradnak nekik a megtévesztettek személyes adatai (a supporthoz küldött név, e-mail cím eladható a spamadatbázisba), a megijedt felhasználók körülbelül öt százaléka átutalja nekik az 50-100 amerikai dollár közötti összeget – ezt több országon keresztül, verbuvált önkéntesekkel (mule) tovább utaltatják, és így mossák tisztára. A megfertőzött gépek is rendszerint felhasználhatók további botnetes károkozásokra: a tulajdonos tudta nélkül küldhetők például további spam hirdetések akár erről a remek, Trust Soldier nevű antivírus programról. És aztán az új címzettek öt százaléka megint kattint, és így tovább.

 

 

vvv28-virustotal.jpg

Sajnos a hamis antivírus programok készítői is alaposan dolgoznak. Ha megnézünk egy ilyen How to Remove leírást, számtalan „ragaszkodó” Registry bejegyzés, kéretlen állomány, különféle mappákban szétszórt kártevőmásolatok gondoskodnak arról, hogy a kivakarás minél nehezebb legyen. Az egyre újabb változatok is próbára teszik az antivírus motorok intelligenciáját, szó sincs minden valódi antivírus termék általi százszázalékos észlelésről, és mindig akad egy olyan új variáns, ami a korábbi sikeres detektálást kijátszva újra munkát ad a víruslaborosoknak

 

 

Sorozatunk következő számában ennek a témának egy másik vetületével fogunk foglalkozni, itt már a szürke zóna és az antivírus cégek ügyvédei is egyaránt a ringbe lépnek majd.

 

*

Kérjük kedves olvasóinkat, ha a témában kérdésük, hozzászólásuk van, juttassák el hozzánk (velemeny@pcworld.hu).

 

Csizmazia István, vírusvédelmi tanácsadó

Sicontact Kft., a NOD32 antivírus magyarországi képviselete

antivirus.blog.hu

 

 

 

 

 

 

Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.pcwplus.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.