Nicsak, ki kattint ott!

2009. március 23. 16:23 - Csizmazia Darab István [Rambo]

A hamis antivírus ipar egyre erősebb. Ha elhisszük - és nincs okunk rá, hogy kételkedjünk - a mondás igazságtartalmát: "Érdek a világ ura", akkor nyilvánvaló, hogy egy alaposan kifundált működési terven alapuló, és gigantikus jövedelmet hozó üzletág nem hogy megszűnni nem fog, hanem éppenséggel a terjeszkedés,  a hatékonyság fokozása, valamint az ellenőrizhetetlenség érdekében tett lépéseivel erősítve okoz a felhasználóknak egyre jelentősebb veszteségeket.

Az egyre bővülő számú, de egyre rövidebb ideig élő domainek feketelistázása messze nem elegendő a boldogsághoz, nem is beszélve azon kezdeti időszakról, amikor már terjeszti magát a kártevő, de a blokkolandó URL-t még nem vette fel minden cég (Finjan, McAfee, PhishTank, NetCraft, stb.). Van olyan trükkös megoldás is, hogy ha azonos IP címről újra belépünk, akkor mindig egy másik kártevő állomány töltődik le - nehezítendő a nyomozást. Bár a visszafejtéssel foglalkozó cégek folyamatosan bővítik az ilyen kártékony hostok listáját, de hosszú távon nem lehet győzni ezek lajstromozását. Igaz néha egy-egy csalárd domainregisztrátor elszámoltatása segíthet a kártevő áradat ideiglenes csökkentésében.

A fertőzött weblapok persze többfélék is lehetnek. Vagy külön erre a célre létrehozott jól csengő nevű, vagy egy karakter eltéréssel (elgépeléssel) valami ismert kifejezésre hasonlító önálló oldal, vagy  - és az utóbbi időben ez egyre gyakoribb - egy már meglévő oldal megfertőzésével, IFRAME beillesztéssel, fertőzött aloldal vagy banner létrehozásával de akár kártékony linket tartalmazó komment beírásával is megtörténhet egy nagyforgalmú és ismert, minden gyanún felül álló webhelyen is.

A hamis antivírusnak az a jó, ha nincs naprakész biztonsági szoftver a számítógépen, amikor azt éppen  megtámadja. Utána pedig már ő az úr, a fertőzés után már képes lehet blokkolni az antivírus gyártók weboldalait is. Mivel ez egy kiemelten jó kereseti lehetőség szinte minimális lebukási eséllyel, már csak az a kérdés, hogyan lehet minél több kétes találatot a terjesztő oldalakra terelni. És természetesen erre is akad jó megoldás.

Ennek lényege, hogy figyelik a Google Trendsen, mik az aktuálisan legnépszerűbb keresési kifejezések, és az ezeket a keresőszavakat "bambán" beépítik oldalaikba. Tehát abszolút nem számít, mi a téma, ahogy az iTunes számláról szóló levélnek sincs semmi köze az Applehez, itt az Obama, iPhone, meghalt Natasha Richardson vagy bármi egyéb sláger kulcsszó is csak eszköz, hogy kattintható linket kínáljon, aztán a felbukkanó figyelmeztető ablakok már elintézik a többit. Vagyis a lényeg, hogy hasonlóan a korábbi torrentes kalandunkhoz függetlenül attól, hogy mi mit keresünk, ők akkor is tudnak ajánlani "érdemi" találatot.

A Finjan kutatói elemezték, mekkor forgalom terelődik "mellékútra", és úgy találták, hogy egy bő kéthetes peridós megfigyelése alatt körülbelül 1.8 millió látogató lett kártékony tartalommal rendelkező, és a keresés szempontjából abszolút nem releváns linkre irányítva. Ha csak kb. 10%-a telepítette a hamis antinvírus programot, és ha csak 1.5% fizetett a "teljes" verzióért, az akkor is durván 8000 EUR (nagyjából 2.5 millió forint) keresmény. Természetesen a Google folyamatosan küzd a jelenség ellen, de ez nagyjából annyit jelent, hogy utólag próbál takarítani.

A már korábban tárgyalt Conficker féreg hasonlóképpen próbált csatlakozni az azóta már tavaly novemberben megszűnt TrafficConverter.biz weboldalhoz, ahonnan szintén hamis antivírus kísérelt meg letöltődni az áldozatok gépeire. Egyes szakértők úgy látják, az oktatás, a felhasználók képzése lenne a legfontosabb a számítógépes írástudatlanság legyőzéséhez, hogy ne maguk a telepítsék fel a különböző kártevőket a gépeikre.

1 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr371019946

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.05.11. 08:43:27

Nem egyszerű a küzdelem a pallérozott elméjű bűnözők és az átlag felhasználó között, ha nemcsak diigitális írástudatlanságról beszélünk, hanem ilyen mértékű valódi írástudatlanságról is. Vajon mire kattintanak ezek az emberek? Hogy írnak alá banki szerződéseket?
index.hu/kulfold/2009/05/10/nem_tud_olvasni_es_irni_sem_30_millio_amerikai_felnott/