Falske infektionsadvarsler kan være reelle problemer

Michael Vana vidste, at noget var op, da han så popupen fra "Antivirus 2009" midt på skærmen. Den tidligere Northwest Airlines avionik tekniker gættede, at den alvorlige advarsel om en systeminfektion var falsk, men da han klikede på X for at lukke vinduet, udvidede den til at fylde sin skærm. For at slippe af med det, måtte han lukke sin pc.

Lyder det godt? Beskidte tricks som disse, der er designet til at få dig til at installere og købe falske antivirusprodukter, er mere almindelige end nogensinde. (For at få råd om, hvordan du fortsætter, hvis du har installeret et falskt antivirus på din pc, skal du se "Antivirus 2009: Sådan fjerner du Fake AV Software.") Men mens du måske genkender sådanne advarsler som falske, ved du måske ikke, at den falske advarsel kan være en rød advarsel om en underliggende bot malware infektion. At kende forskellen er nøglen.

"Det er ikke noget, du endda blinker længere," siger Christopher Boyd, senior direktør for malwareforskning til kommunikationssikkerhedsfirma FaceTime Communications, om anmodninger om hjælp til at håndtere disse advarsels pop-ups.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Den øgede forekomst af disse pop-ups skyldes flere skurke, der går efter nemme penge fra skyggefulde tilknyttede programmer, som betaler et stort overskud af overskuddet - op til 90 procent - for hver person, der fejlagtigt gaffel over penge til et falsk program, uanset hvad der gav dem mulighed for at betale. Ofte kommer induktionen fra et ondsindet websted, der bruger JavaScript-tricks til at smide en masse pop-ups op, eller endda ændre størrelsen på betragterens browservindue for at oprette noget, der ligner en reel antivirusscanning.

Du kan nå sådan et websted ved at bruge et dårligt søgelink, som den ene Boyd klikkede til et gratis online Batman spil. Han blev omdirigeret til et websted, der overtog sin browser for at vise en falsk AV-scanning, som derefter fandt (fiktive) kritiske infektioner, der kunne afhjælpes ved at købe det rogue antivirusprogram.

Hvis et websted kun kapsler din browser, så gør du ikke Du skal ikke bekymre dig for meget: Pop-ups eller falske scannervinduer forårsager ikke varig skade, siger Boyd. Du kan forhindres i at lukke vinduet, som Michael Vana var, men du kan normalt hente Windows Task Manager med Ctrl-Alt-Delete og lukke din browser på den måde. Nogle gange slår Alt-F4 bare ned.

"For at gøre dette bruger [den falske side] reel kode og udnytter normalt ikke et hul," siger Boyd. Så længe du ikke pan-ic og installerer det skubbet program, forekommer der ingen reel skade.

Bot-Based Fake Antivirus

Desværre kan den anden måde du modvirker et falsk antivirusprogram være langt værre.

Joe Stewart, en direktør for malwareforskning med SecureWorks, et sikkerhedstjenester selskab for virksomheder, sporer bot malware til live. Kriminelle bruger botinficerede computere, nogle gange samlet til store netværk (kaldet botnets) på et hundrede tusind eller flere systemer, for at sende spam over hele kloden. Men de bruger også bots til at downloade rogue antivirusprogrammer og anden malware på et offerets pc.

"Det er en bevist måde at tjene penge på en botnet," siger Stewart. "Næsten alle med en allerede implementeret botnet kan potentielt se på dette som en måde at tjene ekstra penge på."

Ifølge Stewart gør skurkerne pengene enten ved at få nogen til at downloade en formodet prøveversion af den skurkiske AV- -co-optagelse af en legitim software-salgsteknik - eller ved at installere softwaren bag scenen med en bot.

Når de installerede, bruger skurken typisk stærkt skærpende teknikker, såsom at ændre Windows-skrivebordets baggrund for at advare om en formodes at inficere og vise konstante andre advarsler for at skubbe dig for at købe den fulde version af softwaren.

Du kan måske vide, at du ikke downloader rogue AV som svar på en uhyggelig browser pop-up. Men når du bliver bedt om at downloade den af ​​en ondsindet controller, vil en skjult bot aldrig give dig chancen for at anvende din gode sans.

Hvis du følger de grundlæggende sikkerhedsforanstaltninger, såsom at holde din bona fide antivirus software opdateret og være forsigtig med e-mail vedhæftede filer og downloads, kan du reducere oddsene for at blive inficeret med en bot eller anden malware. Men hvis du ser popup-vinduer eller andre falske advarsler fra rogue AV på din computer, er det en god idé at forsøge at afgøre, om det er fra et websted eller fra den faktiske software installeret af en bot (eller af en anden, der bruger pc'en).

Muligheder Endless

Der er mange variationer på den falske software scam, og skurkerens taktik varierer, så der er ingen universel indikator for, at man er til stede. Men pas på advarsler, der vedvarer, når du genstarter din pc, især hvis du ser dem, før du åbner din browser. Hvis du ser et uvarslet advarselsikon i systembakken, er det et andet dårligt tegn, især hvis du ikke kan højreklikke på det og få det til at gå væk. Og hvis din desktop baggrund er ændret, er du helt sikkert smittet med det skurkiske antivirus, siger Boyd.

Hvad angår kilden til dette affald, er her en anelse. En sort, som Stewart undersøgte, og derefter kaldte "Antivirus XP 2008", skulle først kontrollere pc'ens systemkonfiguration for at se om den var placeret i et land med mange etniske russere. Det vil også undersøge brugerens Internet Explorer til besøg på den russiske version af Google. Hvis der opstår sådanne beviser, ville installatøren straks afslutte uden at skade det potentielle offer. Ifølge Stewart er det "nok til stort set at sikre, at russisktalende brugere aldrig vil se en Antivirus XP 2008-installation." Men internetbrugere uden for den tidligere østlige blok havde bedre passe på.