Antywirusy, które ukradną i zniszczą twoje dane

Ni stąd, ni zowąd Pulpit staje się czarny, na ekranie pojawiają się alarmy o wykryciu wirusa, a pomoc w jego usunięciu proponuje nieznany program zabezpieczający – właśnie tak coraz częściej wyglądają ataki hakerów. Przestępcy rozpowszechniają fałszywe narzędzia antywirusowe (zwane rogueware albo fake AV), które wyświetlają fikcyjne komunikaty o znalezieniu szkodników i nakłaniają do zakupu pełnej – i jednocześnie drogiej – wersji umożliwiającej ich usunięcie. Ofiarą oszustów padły już miliony internautów.
Zatrważający wzrost. Liczba rogueware w ostatnich dwóch latach zwiększyła się, a ich nowe mutacje o zmienionym kodzie powstają praktycznie każdego dnia. W efekcie w Sieci krążą tysiące wersji każdego ze skatalogowanych już szkodników, co utrudnia ich wykrywanie.
Zatrważający wzrost. Liczba rogueware w ostatnich dwóch latach zwiększyła się, a ich nowe mutacje o zmienionym kodzie powstają praktycznie każdego dnia. W efekcie w Sieci krążą tysiące wersji każdego ze skatalogowanych już szkodników, co utrudnia ich wykrywanie.

W artykule pokazujemy, jak rozpoznawać i bezpiecznie usuwać programy typu rogueware. Szczególnie ważne jest posiadanie zaktualizowanego pakietu zabezpieczającego, gdyż co miesiąc w Sieci pojawiają się tysiące nowych fałszywych antywirusów

i miliony stron służących do ich rozpowszechniania – a trend wciąż jest rosnący.

Oszustwo. Strony fałszywych antywirusów są często tak dopracowane, że podróbkę trudno odróżnić od oryginału.

Oszustwo. Strony fałszywych antywirusów są często tak dopracowane, że podróbkę trudno odróżnić od oryginału.

Diagnoza: Krzykliwe komunikaty

Aplikacje rogueware rozprzestrzeniają się poprzez spreparowane strony internetowe. Wykorzystując luki w przeglądarkach lub wtyczkach takich jak Flash Player, instalują szkodnika na komputerze lub nakłaniają użytkownika do pobrania fałszywego kodeka wideo zawierającego niebezpieczny kod.

Niezależnie od tego, jakim sposobem podrobiony antywirus znalazł się na naszym dysku, jego obecność objawi się na kilka sposobów. Najczęściej na ekranie pojawiają się uciążliwe komunikaty sygnalizujące wykrycie wirusa i nakłaniające do zakupu płatnej wersji narzędzia, która go usunie. Zamykajmy takie okna poprzez Menedżera zadań, gdyż samo kliknięcie przycisku »Anuluj« może spowodować otwarcie niebezpiecznej strony lub pobranie kolejnych szkodników. Niektóre programy wyświetlają również powiadomienia na Pasku zadań, pokazują ostrzeżenia firewalla lub zmieniają tapetę Pulpitu i wygaszacz ekranu. Ponadto fałszywe antywirusy przeszukują dysk znacznie szybciej niż prawdziwe i wykrywają nierealnie wiele zagrożeń.

Rogueware rzadko krążą po Sieci samotnie. Jeśli napastnikom uda się już uzyskać dostęp do naszego komputera, mogą łatwo przemycić do niego kolejne szkodniki. Częstymi towarzyszami fałszywych antywirusów są trojany szpiegujące aktywność użytkowników i niepostrzeżenie przekazujące hakerom ich prywatne dane lub pobierające inne niebezpieczne aplikacje, np. keyloggery. Czasami zaatakowany komputer jest również włączany do botnetu, w związku z czym jego właściciel nieświadomie przyczynia się do dalszego rozpowszechniania rogueware. W połączeniu ze spreparowanymi skanerami pojawiają się również pierwsze aplikacje typu ransomware, czyli narzędzia szantażujące użytkownika.

Wszystkie te szkodniki mają bombardować internautę sygnałami ostrzegawczymi, by w końcu poszukał pomocy na stronie fałszywego antywirusa. Linki do takich witryn są również rozpowszechniane w postaci spamu oraz przez znane popularne serwisy, takie jak YouTube, Facebook czy Twitter.

Podejrzenia powinny wzbudzać zaszyfrowane adresy URL, uniemożliwiające rozpoznanie właściwej nazwy witryny docelowej. Chcąc pobrać nowy program zabezpieczający, powinniśmy zawsze kierować się bezpośrednio na stronę jego producenta. Nawet wyszukiwanie przez Google nie jest bezpieczne – drugą najpopularniejszą drogą rozpowszechniania szkodliwych narzędzi są spreparowane wyniki wyszukiwania. Hakerzy wykorzystują do pozycjonowania swoich stron popularne w danym momencie tematy, ale też łączą je z konkretnymi zapytaniami o programy antywirusowe. Stosowane przez nich metody sprawiają, że witryny spreparowanych programów znajdują się wysoko na listach znalezionych pozycji. Zazwyczaj strony, których adresy pojawiają się w wyszukiwarce, same w sobie nie stanowią zagrożenia, ale odwiedzający je internauci są od razu przekierowywani do innych serwisów, które infekują ich maszyny.

Hakerzy przykładają dużą wagę do tego, by witryny fałszywych antywirusów wyglądały wiarygodnie: umieszczają na nich podrobione certyfikaty jakości, chwalą się wysokimi pozycjami w rankingach i obiecują wysokie rabaty. Niektórzy posuwają się nawet do uruchamiania działających infolinii i serwisów wsparcia technicznego. Ceny bezużytecznych programów wahają się od 40 do nawet 130 dolarów. Waluta, jaką mielibyśmy zapłacić za program, jest zresztą czynnikiem, który powinien wzbudzić naszą czujność – poważni sprzedawcy operujący w Polsce zwykle podają ceny w złotówkach. Zasadniczo należy trzymać się z daleka od wszystkich programów, które skanują system za darmo, ale każą płacić za możliwość usunięcia znalezionych wirusów.

Nigdy nie podawajmy na podejrzanych stronach danych karty kredytowej.

Aktualizowany na bieżąco pakiet do ochronny przed internetowymi zagrożeniami z reguły radzi sobie z wykrywaniem i usuwaniem programów typu rogueware. Gdyby jednak szkodnikowi udało się przedrzeć przez nasze umocnienia, np. dlatego że zapomnieliśmy o aktualizacji antywirusa, może on zablokować zabezpieczenia systemowe. A wtedy nie będzie można zainstalować uaktualnień, a często nawet uruchomić skanera. Musimy wtedy zaopatrzyć się w narzędzie innego producenta, które usunie niechcianego gościa, np. Kaspersky Virus Removal Tool. Inne wyjście to skorzystanie z bootowalnej płyty, na której niektórzy producenci pakietów ochronnych dostarczają swoje produkty – zapisane na niej narzędzia pomogą w wykryciu i usunięciu rogueware’u.

Skanowanie. Realistycznie wyglądające ostrzeżenia skłaniają do zakupu pełnej wersji fałszywego antywirusa.

Skanowanie. Realistycznie wyglądające ostrzeżenia skłaniają do zakupu pełnej wersji fałszywego antywirusa.

Typy rogueware’ów
MS Antivirus
Często spotykane aplikacje z rodziny MS Antivirus wyróżnia dopracowany wygląd. Blokują one aktywne programy antywirusowe. Szkodniki te są znane również jako System Security i WinPC Defender.

Security Tool
Rogueware, znany też jako Total Security, kopiuje komunikaty systemu Windows, ukrywa ikony Pulpitu, zmienia kolor tapety na czarny i spowalnia komputer.
Internet Security 2010
Internet Security 2010 nie tylko wyświetla denerwujące komunikaty, ale też za pomocą spreparowanego pliku DLL blokuje otwieranie serwisów, takich jak Facebook czy YouTube.

Antimalware Defender
Rogueware jest tak podobny do Windows Defendera, że na pierwszy rzut oka nie widać między nimi żadnej różnicy.
Po zaszyciu się w systemie szkodnik blokuje przeglądarkę i bez przerwy wyświetla komunikaty o wykryciu wirusa.

User Protection
Aplikacje z tej rodziny rozpowszechniają się jako spreparowane kodeki wideo oferowane na hakerskich serwisach. User Protection obniża wydajność systemu, a czasem nawet zawiesza komputer.

Usuwanie: Nie zawsze proste

Bywa, że specjalne narzędzia nie dają sobie rady ze szkodnikiem. Powinniśmy wtedy sprawdzić system skanerem online – adresy popularnych narzędzi tego typu podajemy pod tekstem. Kiedy dowiemy się już, jaki rogueware zaatakował naszą maszynę, na stronach takich jak RemoveIt.info poszukajmy wskazówek, jakie procesy należy zamknąć i jakie klucze Rejestru usunąć, by przywrócić sprawność systemu – przynajmniej na tyle, żeby dało się uruchomić program antywirusowy. Wtedy zaktualizujmy go, a następnie – już za jego pomocą – pozbądźmy się resztek szkodnika.

Skanery online: housecall.trendmicro.com security.symantec.com eset.pl/onlinescan

Informacje o usuwaniu: removeit.info www.bleepingcomputer.com