Kártékony antivirus linkek - villám őrjárat 3.

2011. január 19. 14:00 - Csizmazia Darab István [Rambo]

Egyfajta röpke "Link Patrol" keretében teszünk időnként kisebb őrjáratot hamis antivírusok, a hamis antivírust terítő linkek nyomában, különösebb sallangok, terjedelmesebb tiszteletkörök nélkül. Már a spájzban vannak az Antivirus Studio 2010 és 2011 programok.

Nem csökken a roham hamis antivírusok terjesztői részéről. Már megemlékeztünk a 2011-es évjáratról, és persze arról sem szabad elfeledkezni, hogy nem csak antivírus, hanem egyéb célú: hamis lemezkarbantartó, adatmentő, halász, vadász, madarász, szerzői jogvédelmi fenyegetős, és még a jó ég tudja milyen ezerfejű hidra formájában találkozunk vele. Egy a lényeg, a teljes verzióért pénzt követel.

Nincs ez másként az Antivirus Studio esetében sem, a belépés díjtalan, a kilépés bizonytalan - akár a Grand Hotel nevű műintézményben. Hogy kitűnő széklábak vannak-e vagy ötórai gabona pálinka, erről végképp nincs tudomásunk. Ami viszont van, Augiász istállója a Registryben, felpattanó ablakok, kézi gyomlálás, egyedi remover kapálógépek kényszerű bevetése, szenvedés a teljeskörű leszedéssel, tisztítással. Már szinte látjunk lelki szemeinkkel, hogy a következő kamuprogram neve talán stílszerűen Rogue Antivírus Detector 2011 lesz ;-)

Mit lehet tenni? Van-e még reménye az emberiségnek vagy katapultáljunk a Holdra? Valódi megbízható gyártótól származó antivírust, internet biztonsági csomagot használjunk; ha telepíteni akarunk valamit, azt közvetlenül a fejlesztők weboldaláról töltsük le; rendszeresen frissítsük a rendszerünket és minden új programnak nézzünk alaposan utána.

Zárni minden villám őrjáratunkat egységesen ezzel az univerzális okossággal fogjuk: "Soha ne használjunk és ne telepítsünk olyan programot, amelyre rákeresve a Google szinte összes találata „How to remove...” szófordulattal kezdődik."

5 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr652595543

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

______________ (törölt) 2011.01.22. 13:03:11

lehetséges az, hogy a "system tool" nevű fake anitivirus program az eset smart securities teljesen friss változatát kilövi és telepíti magát?
azt hiszem, hogy a skipscreen.com oldalról kaptam a fertőzést, ahonnan az egyébként létező (skipscreen nevű) firefox plugint akartam letölteni (az igazi plugint korábban megelégedéssel használtam, s most egy újratelepítés miatt akartam újra letölteni). amikor láttam, hogy az oldalról letöltött file kiterjesztése exe (nem pedig xpi), akkor már tudtam, hogy ez nem az, mint amit én akarok, ezért nem futtattam, de ekkor már késő volt. az eset logjában találtam kb. 10 bejegyzést: egy néhány perces időintervallumban 2-5 másodpercenként próbált bejutni, gondolom 10-szer sikeresen verte vissza az eset a támadást, de 11-edszerre meghátrált.
nem 100%, hogy erről az oldalról kaptam a fertőzést, de az biztos, hogy egy teljesen friss antivir adatbázissal rendelkező 4.2-es eset smart securities volt szolgálatban, amikor egyszercsak az antivir távozott a memóriából, a kártevő meg elkezdte a saját üzeneteit küldözgetni, blokkolni majdnem minden program futtatását, stb. bőven info róla itt: www.2-spyware.com/remove-system-tool.html
nekem szerencsém volt, mert csak az egyik xp felhasználói fiókot fertőzte meg, a másik accountról belépve viszonylag egyszerűen el tudtam távolítani.
szóval érdemes anti-malware, anti-spyware programot is futtatni az eset mellett? 2-3 év alatt mindig megvédett az eset, egyetlen alkalommal sem kaptam fertőzést, igaz eddig a 3-as verzióját használtam. most álltam át a 4-esre, és szinte azonnal kaptam egy kártevőt. érdemes visszaállni? a 4-es rosszabb??

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2011.01.23. 10:08:45

Szia Sorosolo!

A skipscreen.comra en is gyorsan elmentem, de mar "nem volt szerencsem", csak XPI-vel talalkoztam. Olyan tomegben fertoznek mar meg weboldalakat, hogy gyakorlatilag barhol lehet kartevovel talalkozni, nem csak xxx, meg warez helyeken.

Szerintem a 4.2, vagyis mindig a legfrissebb valtozatot erdemes hasznalni, es egyfelol a beallitasok szigoritasaval tudsz jatszani (valos ideju vedelem, kiterjesztett ehurisztika hasznalata, stb., masreszt batran lehet mellette pl. Spyware Terminator, A-Squared, SpyBot SD programokat hasznalni, nem akadnak ossze.

______________ (törölt) 2011.01.23. 20:40:48

szia István!

köszönöm a választ.
megnéztem, még mindig ott van a skipscreen oldalán az exe, bár a noscript láthatatlanná teszi, illetve linuxos gépről sem láttam tegnap. ha megnézed az oldal forrását, abban biztosan megtalálod a hivatkozást a dl.skipscreen.com/files/SkipScreen-Setup.exe fájlra. ezen a részen keresd:
"Never download music without it.
add to firefox
(Windows OS) other platforms"

az anti spyware programokkal együtt használt eset rossz hír számomra, amennyiben arra utal, hogy ezekkel szemben nem ad teljes védelmet az eset. a félgigás memóriával bíró 1.6-os celeronom erőforrásainak túl nagy részét emésztené fel két védelmi program, akkor inkább kockáztatom a spyware beszerzését, és a tarsolyomban tartok egy gyorsan helyreállítható windowst (azaz image fájlt a windows rendszert tartalmazó partícióról).

üdv!

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2011.01.27. 14:01:40

Megnéztem ezt a skipscreen,exe-t, de a VirusTotal szerint ez látszólag nem fertőzött, 23-án sem, és ma sem.

www.virustotal.com/file-scan/report.html?id=5069715cdb642761aef2e117d15d7e38fc40981ab5da7cc374a6513b79e2569a-1296123202

Az exe WinXp és Win7 alatti alaposabb elemzése szerint sem a naplózott hálózati aktivitás elkapott csomagjaibol, sem pedig a módosított/létrehozott Registry kulcsok, módosított/létrehozott fájlok nem utalnak vírusra, nem látszott gyanús, vagy határozottan káros aktivitás.

Volt benne egy weboldalhoz való csatlakozás, ez a zugo.com valamifele parameterezhető kezdooldal szolgaltatas lehet, közelebbről sajnos nem ismerem, de peldaul az Fsecure Browsing protection itt tisztának jeloli:
browsingprotection.f-secure.com/swp/result?x=ZYZDCr5xcI-1LCkE1O8GOL3jqK1yBfXeZj6j0asFHUg

Itt van még egy halom online vizsgálati eredmény is, ezek sem mutattak kártevőt az exeben:
camas.comodo.com/cgi-bin/submit?file=5069715cdb642761aef2e117d15d7e38fc40981ab5da7cc374a6513b79e2569a
www.virustotal.com/file-scan/report.html?id=5069715cdb642761aef2e117d15d7e38fc40981ab5da7cc374a6513b79e2569a-1295816268
anubis.iseclab.org/?action=result&task_id=181677a098ea103d461b0e680a261eecf
virusscan.jotti.org/en/scanresult/99ac00e6ada965d0cbbbe78cd7a886fe1d7ac272
virscan.org/report/82ba7fc4f421f13680c990fc63a3d261.html

______________ (törölt) 2011.01.28. 20:20:23

köszönöm, hogy utánanéztél. ezek szerint valahonnan máshonnan kaptam a fertőzést. ez volt a gyanús, mert a firefox pluginek a legritkább esetben exe formátumúak. egyébként még mindig kicsit gyanús a skipscreen, mert ma már meg sem jelenik nálam a skipscreen.com oldal. azt írja:
"
Bejelentett támadó weboldal!
A(z) skipscreen.com címen működő weboldalról bejelentés érkezett, hogy támadó weboldal, ezért a biztonsági beállítások alapján a böngésző a hozzáférést nem engedélyezi.

A támadó weboldalak megpróbálnak olyan programokat telepíteni, amelyek személyes adatokat lopnak el, a számítógépet mások megtámadására használják, vagy károsítják a rendszert

Egyes támadó weboldalak szándékosan terjesztenek ártó szoftvereket, de sok olyan van, amelyet a tulajdonosa tudta vagy engedélye nélkül használnak ilyen célra.
"

szóval nem tudom, hogy mi az igazság. az biztos, hogy a friss 4.2-es eset átengedte neki az irányítást. ez az, ami az eddigi (hamisnak bizonyult) biztonságérzetemet egy kicsit megcincálta...