Fake Security Software Scammers Spring på Conficker

Googles søgerrangeringer er ved at blive fyldt med links til falsk sikkerhedssoftware, der sigter på at fjerne Conficker, en udbredt orm, der i øjeblikket er internets nummer 1 sikkerhedstrussel, men det gør det ikke.

Nogle søgeord vil medføre en lang række websider, der enten kunne inficere en pc med ondsindet software eller forsøge at sælge et risikabelt sikkerhedsprogram, sagde Rik Ferguson, senior sikkerhedsrådgiver for leverandøren Trend Micro.

Ferguson sagde, at han har bemærket en uptick i disse typer af websteder i løbet af den sidste dag eller så som andre legitime softwareværktøjer er blevet frigivet, der kan opdage Conficker, som har inficeret mellem 3 millioner og 10 millioner pc'er over hele verden.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

For eksempel kan du søge efter "N map Conficker "vil medføre ondsindede resultater, sagde Ferguson. Nmap er et open-source netværk værktøj, der er blevet opgraderet til at opdage Conficker infektioner. Ferguson sagde, at han var overrasket over, hvor hurtigt svindlere begyndte at manipulere Google med disse søgeord, da Nmap netop blev opgraderet.

Scammers-spil Googles søgemaskine ved at oprette websteder, der er fulde af søgeord, udtalte Fergusons. En anden taktik er at spammere websteder med høj trafik, der fører tilbage til deres ondsindede websted for at køre deres websted op i søgeordene.

Google har kæmpet dem, der forsøger at manipulere sin søgemaskine, men svindlerne sommetider vinder for en stund. Ferguson, der sendte skærmbilleder af søgninger, han gjorde sent mandag aften, sagde, at han havde kontaktet Google om sine resultater.

De falske sikkerhedssoftwarewebsteder vil bede en bruger om at downloade en fil, der scanner en maskine til malware. Softwaren fortæller normalt brugeren, at pc'en har skadelig software, selvom den ikke er inficeret, sagde Ferguson. Softwaren vil derefter binde brugeren til at købe det tvivlsomme sikkerhedsprogram.

"Når du har downloadet det, er det ekstremt svært at få de ting fra din maskine," siger Ferguson.

Finlands sikkerhedsleverandør F-Secure har har også set en række nye domæneregistreringer for websteder, der sælger software, der tilsyneladende fjerner Conficker, ifølge en firmablog.

Et af disse programmer, der hedder MalwareRemoval Bot, kræver 39,95 USD for at fjerne malware. Men det virker ikke.

"Det fjerner ikke Conficker.C," skrev Patrik Runald, sikkerhedsreaktionschef for F-Secure. "Det gjorde ikke noget."

Conficker er en svær at fjerne orm, der har forvirret sikkerhedssamfundet. Versioner af ormen spredes ved at udnytte en sårbarhed i Microsoft Windows Server-tjenesten via inficerede flytbare medier eller brute-force svage adgangskoder.

Sikkerhedssamfundet springer sig selv til onsdag, når Conficker.C-varianten bliver aktiv. Ormen er programmeret med en algoritme, der genererer tilfældige domænenavne. Hvis et af disse domænenavne er levende, vil ormen gå til webstedet og forsøge at downloade yderligere instruktioner.

Conficker.C er programmeret til at generere 50.000 domænenavne om dagen og vil så prøve at få adgang til 500 af disse navne pr. Dag, ifølge sikkerhedsselskabet Websense.

De, der kontrollerer Conficker, har endnu ikke brugt det til ondsindede formål, men det store antal maskiner, der er smittet, betyder, at botnet kunne være ødelæggende for deial-of-sevice-angreb, spamkampagner eller udbredt datatyveri.

Microsoft tilbyder en $ 250.000 belønning for information, der fører til anholdelse og overbevisning af Conficker's skabere.