Hamis antivírus után hamisított antivírus

2008. november 27. 22:42 - Csizmazia Darab István [Rambo]

Egy friss hír szerint már nem csak az Antivirus XP 2009, 2010, és hasonló trükkök dívnak, hanem a létező AV cégek imázsának lejáratása, nevükkel való visszaélés lehet a kártevőterjesztők új módszere. Lehet aggódni.

Ugyan a hamis antivírus trükk már ismert a hozzáértők előtt, de még mindig sikeresen lehet vele embereket átverni. A PC Worldben a Vírusok Varázslatos Világa sorozatban a 15. novemberi számában már részletesen írtunk erről a témáról. Ott a lényeg az, hogy kitalálnak egy új nevet - pl. CsilliVilli Antivírus 2099 - aztán hirdetik, spammelik, ablakot nyitnak a böngészőben, és igyekeznek terjeszteni, hogy a gyanútlan vásárolók fizessenek a semmiért. Mit mondunk mi erre? Muszáj figyelni és tájékozódni, és részesítsük előnyben a neves gyártók termékeit, mint ESET, Kaspersky, McAfee vagy Norton.

De mi lenne - sőt most már mi van - akkor, ha a gazfickók nem pusztán fantázianevekkel, kitalált programnevekkel játszanának, hanem vérfagyasztó módon valódi antivírus programok nevében, azok letöltési oldalát hamisítva, a vásárolni szándékozók személyes és banki adatainak ellopásával szereznének pénzt? Nos, ez már nem a jövő, nem Sziriusz Kapitány és a Csillaglány a főszereplő, sem Mikrobi, hanem ez már itt és most van.

Van itt minden - VB100, díjhegyek - mint karácsonykor

Ezúttal az AVG került célkeresztbe, és az ő oldalukat hamisították meg egy GoDaddys weboldalról. A cikk ugyan hibásan hivatkozik a webhelyre (http://0fficial-page-com/AVG1), de "szerencsére" rövid próbálkozás után sikerült megtalálni az igazi csaló oldalt is (http://0fficial-page.com/AVG1). A hivatkozott szakértő szerint a támadásnak az AVG online scanner funkciója is potenciális célpontja lehet, ennél a lépésnél ugyanis egy komponens töltődik le a delikvens gépére, ami az online vizsgálatot végző programocska helyett akár kártevő is lehet.

Itt látszólag (még) nem a fertőzésre, kártevő terjesztésre megy ki a játék, egyelőre ?! megelégszenek a pénzünkkel is ;-) Ha valaki az eredeti weboldal helyett itt rendel, az futhat a pénze után. Sőt, nem csak, hogy a kívánt vírusirtót nem kapja meg, de a megadott bankkártyájával és annak 3 jegyű biztonsági kódjával a bűnözők villámgyorsan leüríthetik a számláját is. Végülis annyi megmaradt, hogy most is a semmiért fizetünk.

Még belegondolni is félelmetes, mi lesz, ha több más vagy akár az összes komoly antivirus cég nevében elkezdenek majd machinálni? Jó, a geekek úgyis tudják fejből kedvenc vírusvédelmi oldaluk IP címét ;-) de mi lesz a többiekkel?

Az új szabály talán az lehet, hogy levélben érkező linkről vagy nem a gyártó domainnevéről nyíló oldalról sose rendeljünk szoftvert, és semmiképpen ne adjuk meg személyes adatainkat. Már a jövő sem a régi...

5 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

VistaMan 2008.11.28. 09:53:45

Ezt a GoDaddy ügyet nem értem.
GoDaddy egy regisztrátor (akiről még nem sok rosszat olvastam). Igaz, hogy nála regisztrálták a fenti domaint, de nem az ő tulajdona. (Vagy valamit félreértek?)

waces · http://blog.waces.hu 2008.11.28. 10:02:10

namost aki egy akarmilyen oldalon kepes venni barmit is ott azert a hulyesegfaktor is bejatszik. ilyenolyanoldal/avg eleggen "un-officialnak" tunik.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.11.28. 10:03:03

Hmm, igazad van ebben, elkevertem, rögtön javítok is. A sok EstDomainses ügy elterelte a figyelmemet, sajnálom...

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.11.28. 10:08:36

@VistaMan: köszi az észrevételt

@Waces: Szentigaz, de hát nem is arról szól ez, hogy te vagy én benézem ezt, hanem az átlagember. Neki pedig van rá sansza erősen. Például ha hall olyat, hogy az AVG az elég jó, aztán látja a fenti weboldalt, mit fog tenni?

Az ilyen cégnevek elleni manipuláció szinte már szokásosnak mondható, sokan rá is játszanak, egy "átlagszülő" meg vesz egy gagyit a gyerekének "ócsóért" :-(
homar.blog.hu/2008/11/27/kamu_wii_t_arul_az_auchan

gothmog 2008.11.28. 16:26:18

amíg a gúgli az "avg" kifejezésre az első ötven (legyünk optimisták) találat között nem hozza fel ezt a szemétdombot, addig viszonylag nyugodt vagyok.
Az ilyen "hallomás" nálam úgy szokott történni, hogy:
...
én: -van ingyenes az avg-ből, az avast-ból, meg az avira-ból is. például.
kezdő júzer: -fú, és honnan lehet letölteni?
é: -beírod a gúgliba, és első találat.
kj: -nem írnád le nekem mégis egy darab papírra?
é: -dehogynem... tessék. illetve nincs nálad egy pendrájv? akkor mindjárt feltolom rá az installert, és neked csak telepíteni kell.
kj: -köszi!
ennyi. kb kettő perc.
És ilyenkor azzal a kellemes tudattal dőlök hátra, hogy talán egyel csökkentettem a potenciális zombik számát.
A másik lehetőség, amikor a "kezdő júzer" megkér, hogy "állítsam be az internetet", akkor az nem akkor van kész, amikor beírjuk a felhasználónév/jelszót, hanem akkor mikor fent van a tűzfal, egy friss böngésző, egy antivírus, meg egy antispyware.
Bár ez inkább utólag szokott történni, komplett újratelepítéssel egybekötve. Miután az egyszeri felhasználónak már egy másodperc gépidő se jut a sok virtumonde és társai típusú "alkalmazástól".
És ilyenkor konkrétan _tudom_ hogy csökkentettem egyel a zombik számát. És kajánul vigyorgok közben. ;)
süti beállítások módosítása