Fa艂szywe antywirusy - ataki pod pozorem ochrony

13 maja 2010
Maciej Ziarek
Analityk zagro偶e艅, Kaspersky Lab Polska

W dzisiejszych czasach bardzo 艂atwo trafi膰 na nieoryginalny produkt. Podrobi膰 da si臋 praktycznie wszystko. Czasami jest to produkt niskiej jako艣ci, posiadaj膮cy nazw臋 i logo znanej marki, a czasami produkt podobny do pierwowzoru, jednak r贸偶ni膮cy si臋 w nieznaczny spos贸b. Niestety problem ten nie dotyczy tylko kosmetyk贸w, ubra艅 czy sprz臋tu elektronicznego, ale tak偶e oprogramowania bezpiecze艅stwa. Fa艂szywe programy antywirusowe, bo o nich mowa w tym artykule, stanowi膮 realne zagro偶enie dla u偶ytkownik贸w. W ostatnich miesi膮cach notuje si臋 wzrost popularno艣ci tego szkodliwego oprogramowania, kt贸re udaj膮c po偶yteczne aplikacje i pokazuj膮c fa艂szywe wyniki skanowania komputera w poszukiwaniu infekcji, zach臋ca do kupna pe艂nej wersji.

Cyberprzest臋pca wynosi z tej metody ataku a偶 dwie korzy艣ci. Po pierwsze pieni膮dze. Za pozorn膮 ochron臋 cz臋sto trzeba zap艂aci膰 kwot臋 wy偶sz膮, ni偶 warto艣膰 prawdziwego programu antywirusowego. Drugim aspektem zach臋caj膮cym cyberprzest臋pc贸w do stosowania tego typu praktyk jest fakt, 偶e instaluj膮c si臋 na komputerze ofiary, program mo偶e tak偶e pobiera膰 dodatkowe szkodniki, takie jak trojany czy keyloggery wykradaj膮ce has艂a, loginy, dane osobowe i inne newralgiczne informacje. Zatem nie tylko nie usuwamy zagro偶e艅 (kt贸rych w systemie prawdopodobnie nie by艂o), ale stajemy si臋 celem ataku szkodnik贸w. Nie bez powodu ten typ aplikacji zyska艂 miano scareware (scare - straszy膰), strach jest bowiem jedn膮 z silniejszych form oddzia艂ywania na cz艂owieka.

Znany mo偶e wi臋cej

Bardzo wa偶n膮 rzecz膮 dla os贸b tworz膮cych fa艂szywe oprogramowanie antywirusowe jest rozpoznawalno艣膰, a wi臋c dzia艂anie b臋d膮ce ca艂kowitym przeciwie艅stwem wi臋kszo艣ci szkodliwych program贸w, kt贸re staraj膮 si臋 pozosta膰 w ukryciu tak d艂ugo jak to tylko mo偶liwe.

Najbardziej popularni producenci program贸w zabezpieczaj膮cych ju偶 teraz spotykaj膮 si臋 z sytuacj膮, 偶e scareware przypomina ich produkty nie tylko z nazwy, ale tak偶e poprzez szat臋 graficzn膮. Podobne kolory, identyczne rozmieszczenie ikon - nawet do艣wiadczona osoba mog艂aby mie膰 problem z rozr贸偶nieniem, kt贸ry program jest prawdziwy. Wystarczy spojrze膰 na dwa obrazki poni偶ej. Prezentuj膮 one narz臋dzia firmy Microsoft do walki ze oprogramowaniem spyware. Problem w tym, 偶e tylko ten pierwszy jest produktem firmy z Redmond. Drugi jest jego szkodliw膮 kopi膮 nie maj膮c膮 nic wsp贸lnego z bezpiecze艅stwem.


Rys. 1. Oryginalny program Windows Defender


Rys. 2. Fa艂szywy program Windows Enterprise Defender

W raporcie "Podr贸bki i produkty podobne - 艣wiadomo艣膰 spo艂eczna" przygotowanym przez Instytut Bada艅 nad Gospodark膮 Rynkow膮 na podstawie bada艅 Centrum Badania Opinii Spo艂ecznej wykonanych na zlecenie Stowarzyszenia ProMarka mo偶na przeczyta膰:

"Producenci podr贸bek bardzo si臋 staraj膮, aby ich nielegalne produkty przypomina艂y do z艂udzenia produkty oryginalne. W tym celu nie tylko umieszczaj膮 na nich logo i nazw臋 oryginalnego producenta, ale tak偶e na艣laduj膮 inne elementy wzornictwa (kroje, kolorystyk臋 itd.). Ma to mi臋dzy innymi na celu wprowadzenie w b艂膮d ewentualnych nabywc贸w podr贸bek, tak by byli oni przekonani, 偶e kupuj膮 produkt oryginalny."

Poni偶szy wykres tak偶e pochodz膮cy z raportu pokazuje jaka jest 艣wiadomo艣膰 spo艂eczna na temat fa艂szywek.


Rys. 3. Wyniki ankiety, w kt贸rej zadano pytanie: "Czy potrafi Pan/Pani odr贸偶ni膰 produkt oryginalny od podr贸bki?"

Najtrudniejszy pierwszy krok...

Jedn膮 z powszechniej stosowanych metod infekowania komputer贸w poprzez scareware jest u偶ywanie do tego celu spreparowanej strony. Ca艂o艣膰 odbywa si臋 w kilku krokach, kt贸re zosta艂y opisane poni偶ej.

1. Zach臋ci膰 u偶ytkownika do odwiedzenia spreparowanej witryny

Wszystko zaczyna si臋 od wizyty na odpowiednio przygotowanej stronie internetowej. Jest ona stworzona w taki spos贸b, by wzbudzi膰 zaufanie. Nale偶y jednak jako艣 przekona膰 u偶ytkownika do wej艣cia na witryn臋. W tym celu przest臋pcy wykorzystuj膮 ranking popularno艣ci stron w Google oraz tematy, kt贸re w danym momencie s膮 ch臋tnie czytane. Na przyk艂ad, chc膮c znale藕膰 informacje na temat jakiego艣 skandalu, po wpisaniu odpowiedniej frazy w wyszukiwarce Google, ju偶 na pierwszej stronie mo偶na trafi膰 na witryn臋, kt贸ra tylko z opisu wydaje si臋 traktowa膰 o interesuj膮cej nas tematyce. W rzeczywisto艣ci po klikni臋ciu odno艣nika mo偶e pojawi膰 si臋 niniejszy komunikat:


Rys. 4. Komunikat ukazuj膮cy si臋 po wej艣ciu na spreparowan膮 stron臋

Informuje on, 偶e komputer zagro偶ony jest atakami wirus贸w i zaleca si臋 jak najszybciej rozpocz膮膰 skanowanie systemu. Mo偶na pos艂u偶y膰 si臋 przyk艂adem b臋d膮cym bardziej na czasie i ukazuj膮cym bezwzgl臋dno艣膰 przest臋pc贸w oraz to, 偶e ka偶de wydarzenie mo偶e przez nich zosta膰 wykorzystane do zwi臋kszenia liczby odwiedzin fa艂szywych stron. Po katastrofie samolotu prezydenckiego 10 kwietnia 2010 roku bardzo szybko pojawi艂y si臋 strony maj膮ce rzekomo ujawnia膰 nieznane szczeg贸艂y tej tragedii. Poni偶szy obrazek pokazuje tak膮 w艂a艣nie witryn臋. Niestety po wej艣ciu na ni膮 pojawia艂a si臋 wcze艣niej ju偶 prezentowana informacja o konieczno艣ci przeskanowania komputera.


Rys. 5. Link do spreparowanej strony, kt贸ra nie ma nic wsp贸lnego z szukanym tematem

Istniej膮 oczywi艣cie tak偶e inne metody zach臋cania do odwiedzenia spreparowanej witryny. Rozsy艂anie link贸w poprzez poczt臋 elektroniczn膮, czaty, komunikatory lub na serwisach spo艂eczno艣ciowych tak偶e si臋 zdarza. Wystarczy jedynie odpowiednio zach臋ci膰 do przej艣cia pod podany adres np. obiecuj膮c ciekawy filmik lub zdj臋cie. Ch臋tni znajd膮 si臋 zawsze.

2. Przekona膰 u偶ytkownika co powagi zagro偶enia

Celem przest臋pcy jest przestraszenie u偶ytkownika oraz wm贸wienie mu, 偶e jego system operacyjny to siedlisko wirus贸w. Do tego celu cyberprzest臋pcy u偶ywaj膮 j臋zyka skryptowego - javascript. Po wej艣ciu na sfa艂szowan膮 witryn臋 uruchamia si臋 skrypt, kt贸ry w za艂o偶eniu ma pokaza膰 post臋p skanowania naszego dysku twardego. Jest to oczywi艣cie oszustwo i nie ma nic wsp贸lnego z naszym systemem operacyjnym (cz臋sto nawet nazwy folder贸w czy partycji r贸偶ni膮 si臋 od tych jakie posiadamy w rzeczywisto艣ci, co powinno by膰 pierwszym sygna艂em ostrzegawczym). Poni偶szy obrazek pokazuje skrypt w trakcie dzia艂ania:


Rys. 6. Wynik nieprawdziwego skanowania przeprowadzonego z poziomu przegl膮darki

Jak wida膰 ca艂a akcja dzieje si臋 w okienku przegl膮darki i niewiele ma wsp贸lnego z dyskiem twardym. Je偶eli jednak u偶ytkownik jest niedo艣wiadczony i nie orientuje si臋 w kwestiach bezpiecze艅stwa, to got贸w jest uwierzy膰, 偶e faktycznie jego komputer jest zara偶ony i musi podj膮膰 odpowiednie kroki, by wyeliminowa膰 szkodniki.

3. Da膰 u偶ytkownikowi nadziej臋 na usuni臋cie szkodnik贸w

Zaraz po zako艅czeniu "skanowania" rozpoczyna si臋 proces pobierania niewielkiego pliku, kt贸ry po instalacji okazuje si臋 by膰 w艂a艣nie t膮 aplikacj膮, dzi臋ki kt贸rej nasz komputer stanie si臋 bezpieczniejszy, a my pozb臋dziemy si臋 wszystkich wykrytych przed momentem zagro偶e艅. W niekt贸rych przypadkach instalacja odbywa si臋 bez wiedzy u偶ytkownika.


Rys. 7. Rozpocz臋cie pobierania fa艂szywego programu antywirusowego

Sama aplikacja jest bardzo natr臋tna i co chwil臋 zasypuje informacjami o nowych zagro偶eniach oraz o konieczno艣ci zakupu pe艂nej wersji celem ich usuni臋cia. Zdesperowany u偶ytkownik w obawie przed utrat膮 danych idzie na skr贸ty s膮dz膮c, 偶e dzi臋ki zakupowi nie tylko wyleczy sw贸j komputer, ale tak偶e zyska aplikacj臋, kt贸ra od tej pory b臋dzie sta艂a na stra偶y jego systemu.

Oczywi艣cie jest to jedna z metod infekcji systemu. Czasami odbywa si臋 to w zupe艂nie inny spos贸b. Na przyk艂ad robak Kido (znany tak偶e pod nazw膮 Confiker) pobiera艂 fa艂szywe oprogramowanie pod nazw膮 Spyware Protect. Zasada dzia艂ania by艂a jednak taka sama i sprowadza艂a si臋 do zwi臋kszenia dochod贸w przest臋pc贸w.

Jak nie strachem to si艂膮...

Wi臋kszo艣膰 aplikacji scareware ogranicza swoje dzia艂anie do straszenia u偶ytkownik贸w i m臋czenia ich nieustannymi komunikatami o zagro偶eniach. Czasami to jednak nie wystarcza, zw艂aszcza gdy ofiara orientuje si臋, 偶e kto艣 ni膮 manipuluje. Id膮c tym tokiem my艣lenia, tw贸rcy scareware zacz臋li tak pisa膰 swoje programy, by te po instalacji blokowa艂y wi臋kszo艣膰 aplikacji zainstalowanych w systemie. Tworzenie, edycja i otwieranie dokument贸w tak偶e jest niemo偶liwe, co mo偶e mie膰 kolosalne znaczenie w przypadku os贸b, kt贸re na dysku trzymaj膮 np. prac臋 magistersk膮 lub wa偶ne firmowe dokumenty. Aby odblokowa膰 dost臋p do komputera, nale偶y zakupi膰 licencj臋 na program (najcz臋艣ciej jest to kwota powy偶ej 150 z艂). Przyk艂adem takiego programu jest Total Security 2009. Tego typu praktyki przypominaj膮 w swoim dzia艂aniu wirusa GpCode, kt贸ry po infekcji szyfrowa艂 ponad 200 rodzaj贸w plik贸w, a za odszyfrowanie pobierana by艂a op艂ata.


Rys. 8. Program Total Security 2009

Takie dzia艂ania cyberprzest臋pc贸w wskazuj膮 na coraz wi臋ksz膮 艣wiadomo艣膰 u偶ytkownik贸w Internetu, kt贸rzy s膮 czujniejsi i nie daj膮 si臋 艂atwo wywie藕膰 w pole. Z tego powodu atakuj膮cy uciekaj膮 si臋 do jawnego 偶膮dania okupu za odblokowanie komputera. Nale偶y pami臋ta膰, 偶e 偶aden legalny program zabezpieczaj膮cy nie blokuje komputera do czasu wykupienia licencji!

Elegancik ... bo najwa偶niejsze jest wra偶enie

Dlaczego zatem fa艂szywe programy antywirusowe odnosz膮 taki sukces? Co wp艂ywa na u偶ytkownik贸w, 偶e faktycznie wierz膮 w zainfekowanie ich komputera oraz w to, 偶e bez odpowiedniej pomocy nie b臋d膮 w stanie pozby膰 si臋 szkodnik贸w? Sk膮d ta skuteczno艣膰 program贸w typu scareware?

Przyczyn jest kilka. Po pierwsze i najwa偶niejsze - socjotechnika. To na niej opiera si臋 ca艂y proceder. Jest to sztuka manipulacji cz艂owiekiem, wywierania na nim wp艂ywu w taki spos贸b, by sta艂 si臋 podatny na wszelkiego typu sugestie. Wszystko sprowadza si臋 do odpowiedniego zaprezentowania fakt贸w (w tym przypadku rzekomej infekcji) i pokierowania konkretn膮 osob膮 dla w艂asnych korzy艣ci (zakup drogiej licencji przez ofiar臋).

Fa艂szywe programy antywirusowe wygl膮daj膮 bardzo profesjonalnie. Zar贸wno ich oprawa graficzna jak i mo偶liwo艣膰 konfiguracji wzbudzaj膮 zaufanie i sprawiaj膮, 偶e u偶ytkownik nie jest 艣wiadomy zagro偶enia. Poni偶ej znajduje si臋 przyk艂ad programu antywirusowego, wraz z opisem sposobu, w jaki stara si臋 on przekona膰 u偶ytkownika do swojej przydatno艣ci. Aplikacja jest rozbudowana i przepe艂niona tre艣ciami, kt贸re maj膮 zwi臋kszy膰 jej wiarygodno艣膰. Atakuj膮cy gwarantuje tak偶e bezpiecze艅stwo systemu bezpo艣rednio po zakupie licencji. Takie dzia艂anie ma u艣wiadomi膰 nabywcy, 偶e p艂aci nie tylko za usuni臋cie zagro偶e艅, ale tak偶e za bardzo dobry program antywirusowy.


Rys. 9. Przyk艂ad fa艂szywego programu antywirusowego

Po instalacji rozpoczyna si臋 skanowanie dysku, podczas kt贸rego wykrywane s膮 rzekome zagro偶enia (podawane s膮 przy tym ich nazwy oraz stopie艅 zagro偶enia). Pewn膮 doz膮 hipokryzji jest fakt, 偶e fa艂szywy program antywirusowy informuje u偶ytkownika, i偶 pad艂 ofiar膮 innego fa艂szywego antywirusa (Rogue-TrustedAntivirus). Jednak aby je usun膮膰, nale偶y najpierw zap艂aci膰 za licencj臋 programu. Przy tej okazji pojawia si臋 kolejne okienko:


Rys. 10. Okno aktywacji fa艂szywego programu antywirusowego

Nie nale偶y jednak liczy膰 na to, 偶e antywirus ten zapewni nam jak膮kolwiek ochron臋. Jego g艂贸wn膮 rol膮 do spe艂nienia jest wy艂udzenie pieni臋dzy. Trudno zreszt膮 oczekiwa膰, 偶e aplikacja zaczynaj膮ca "znajomo艣膰" z u偶ytkownikiem od szanta偶u mo偶e mie膰 faktycznie na uwadze jego bezpiecze艅stwo. Wszystko zatem sprowadza si臋 jedynie do przekonania, 偶e antywirus jest prawdziwy. Cel jest zawsze ten sam, jedynie metody przekonywania si臋 r贸偶ni膮.

Jakie s膮 inne aspekty wp艂ywaj膮ce na popularno艣膰 i op艂acalno艣膰 tego interesu? Wiele os贸b twierdzi, 偶e nie jest im potrzebny program antywirusowy czy inne narz臋dzia zabezpieczaj膮ce, poniewa偶 na ich komputerach nie ma wirus贸w i wystarczaj膮ce jest dla nich testowanie komputera skanerem online. Jest to oczywi艣cie podej艣cie z za艂o偶enia z艂e - wi臋kszo艣膰 szkodliwych program贸w stara si臋 ukry膰, by w spokoju wykrada膰 dane, czy te偶 przy艂膮czy膰 komputer do botnetu (sie膰 z艂o偶ona z zainfekowanych maszyn). Poza tym, jak mo偶na twierdzi膰 偶e komputer nie jest zainfekowany, nie posiadaj膮c programu regularnie skanuj膮cego dysk? Zatem, kiedy fa艂szywy antywirus pokazuje, 偶e na komputerze znajduje si臋 trzydzie艣ci r贸偶nego rodzaju szkodnik贸w, cz臋艣膰 u偶ytkownik贸w stwierdza, 偶e musi to by膰 bardzo skuteczny program, skoro jako pierwszy wykry艂 zagro偶enia i ... warto go kupi膰.

Jak ustrzec si臋 program贸w typu scareware?

Stosowanie si臋 do poni偶szych porad pomo偶e w ustrze偶eniu si臋 przed fa艂szywymi programami antywirusowymi:

  • Programy zabezpieczaj膮ce pobieraj bezpo艣rednio ze strony producenta lub z du偶ych i sprawdzonych portali.
  • Zainstaluj dodatki umo偶liwiaj膮ce blokowanie skrypt贸w z poziomu przegl膮darki.
  • W przypadku wej艣cia na jak膮kolwiek witryn臋 nie wierz komunikatom obwieszczaj膮cym infekcj臋 systemu i konieczno艣膰 instalacji dodatkowych program贸w.
  • W razie w膮tpliwo艣ci co do autentyczno艣ci programu znajduj膮cego si臋 na dysku, zapytaj o porad臋 na jednym z for贸w internetowych.
  • Fa艂szywe antywirusy nie posiadaj膮 konkretnej marki czy nazwy, z kt贸r膮 mo偶na by je kojarzy膰. Zamiast tego ich tw贸rcy u偶ywaj膮 s艂贸w kluczowych, takich jak: Security, Antivirus2010, SpyGuard.

Nale偶y tak偶e stara膰 si臋 u偶ywa膰 produkt贸w znanych, poddawanych ci膮g艂ym testom i posiadaj膮cych pozytywne opinie w艣r贸d u偶ytkownik贸w. W przysz艂o艣ci fa艂szywe antywirusy mog膮 jeszcze bardziej pr贸bowa膰 upodabnia膰 si臋 do tych tworzonych przez czo艂owych producent贸w, dlatego tym bardziej nale偶y mie膰 si臋 na baczno艣ci i nabywa膰 programy z legalnych 藕r贸de艂.

Opisy fa艂szywych program贸w antywirusowych mo偶na znale藕膰 w serwisie pomocy technicznej Kaspersky Lab: http://support.kaspersky.com/pl/viruses/rogue.

殴r贸d艂o:
Kaspersky Lab