A hamis antivírusok újabb kalandjai

2011. március 08. 12:50 - Csizmazia Darab István [Rambo]

Mindent lehet egy picivel még jobbá tenni, még tovább fejleszteni, és az világosan látszik, hogy ezt a nemes küldetést csöppet sem veszik félvállról a hamis antivírus programok készítői, terjesztői.

Arról már korábban is beszámoltunk, hogy a folyamatos újítás jegyében valóságos termékek nevére hajazó hamis programok is megjelentek - például Smart Security, XP Smart Security, Windows Smart Security, WireShark Antivirus vagy SysInternals Antivirus - lejáratva ezzel az eredeti márkanevet, illetve a hatékonyabb megtévesztés jegyében megzavarva a félinformációkkal rendelkezőket. Ezek a programok mind álvírusirtók, amelyek nem létező fertőzéssel ijesztgetik a felhasználókat, majd a "mentesítést" elvégezni képes teljes értékű változatért 30-80 dollár körüli összeget kérnek, amelyet Mastercard, Visa vagy PayPal utalással lehet teljesíteni. 

Ezúttal a ChronoPay cégről derültek ki további érdekességek Brian Krebs jóvoltából. Már az is vicces volt, amikor az elején még azzal védekeztek, rendszerüket - amely eredetileg hitelkártyás fizetési lehetőséget biztosított kiskereskedőknek - csupán megfertőzték, de nekik maguknak semmi közük nincs a hamis antivirus terjesztéshez, és más számítógépes bűncselekményekhez. Aki azonban folyamatosan figyelemmel kísérte az eseményeket, ennek pontosan az ellenkezőjét tapasztalta, vagyis hogy igenis vastagon benne voltak és kihasználták, sőt irányították ezt a fajta bizniszt. Erről számos szakmai cikk, többek közt a Washington Post is beszámolt már évekkel korábban. Ezúttal még újabb dokumentumok, bizonyítékok szivárogtak ki minderről, amelyek további érdekes részleteket fednek fel.

Emlékezetes, hogy 2009-ben a Microsoft és a Symantec tanulmánya már említette, hogy a TrafficConverter.biz az egyik legnagyobb hamis védelmi szoftvert terjesztő hálózat volt. A számos webhelyet felölelő kiskereskedői hálózatra emlékeztető modell jutalékot fizetett a kártékony kódok terjesztéséért és a modell sikerességére jellemző, hogy a TrafficConverter.Biz üzemeltetői a legaktívabb hamis AV terjesztőnek versenyt írtak ki, melynek fődíja egy 36 ezer dolláros Lexus gépkocsi volt. Meg is tehették mindezt, hiszen egy szintén 2009-es felmérés alapján a cég tíz legnagyobb értékesítője akkoriban heti 23 ezer dollárt (azaz 4.4 millió HUF) keresett, ami úgy háromszorosa az Egyesült Államok elnöki fizetésének. (Nyilván ehhez a nagyságrendhez igyekezett igazítani az MS is a maga 250 ezer dolláros kitűzött vérdíját.) A Trafficconverter.biz bezárása végül akkor következett be, amikor a Microsoft kérelmezte és hozzájutott a Conficker férget terjesztő domainek listájához. 

A ChronoPay az évek folyamán azonban szorgalmasan dolgozott tovább, és 2010. márciusában például az F-Secure kutatói figyeltek fel arra, hogy egy újabb megtévesztési módszer indult be, amely látszólag RIAA szerzői jogi figyelmeztetéseket tartalmaz, és a kb. 400 USD befizetése ellenében mentesülünk az állítólagos torrentezés miatt várható állítólagos börtönbüntetés és a per alól. A közös most is mindegyikben az, hogy itt is a semmiért a csalóknak fizetnek a becsapott emberek.

Az eredeti cikk végén található egyik PDF mellékletben 12 oldalon sorolják a különböző, ChronoPayhez tartozó kártékony kódokat terjesztő domaineket. Ebben többek közt az a hírhedt Shieldec.net is megtalálható, amelyet a botneteket feltérképező Zeus Tracker is megjelölt korábban, mint az egyik jelentős hamis antivírus terjesztő oldalt. A kiszivárgott dokumentumokból többek  közt az is kederült, hogy a hamis antivírus üzletág két általuk alapított ciprusi offshore cég, a Yioliant Holdings és a Flytech Classic Distribution Ltd. irányítása alatt működött. Ugyancsak érdekes az a 75 oldalas bizonylat is, amely a fake programok megvásárlásáról szóló bankkártyás tranzakciókat tartalmazza, és jól látható, hogy mindössze egyetlen óra leforgása alatt akár 80-100 befizetés is történik. Érdemes a teljes cikket végigrágni, amelyben az évek alatt alapított, megmozgatott cégekről, és 2008-2010 közötti időszakban elkövetett üzelmeikről részletesen beszámolnak. 

Arról már olvashattunk a blogban, hogy az ügyvédeknek újabban mekkora nagy szerep jut a kártékony kódok elleni harcban. Emlékezzünk csak arra, amikor Eugene Kaspersky cégét a Zango nevű online reklámcég beperelte az USA-ban arra hivatkozva, hogy a kártevőként való detektálás rontja az üzletmenetüket és a jó hírnevüket. Az évekig tartó per végül a Zango (korábban 180Solutions) csődjével és az antivírus cég győzelmével zárult. De említhetjük azt is, amikor az ESET ajtaján kopogtattak a hamis antivírus készítők és követelőznek, hogy az adatbázisból 14 napon belül távolítsák el a WinAntiVirus Pro 2006 detektálását. A korábbi hosszadalmas Zango-per óvatossá tette az antivírus cégeket, és kénytelenek minden egyes esetnek alaposan utána nézni, ezer százalékig biztosra menni. Pontosan ilyen jogi okok miatt nincs alapértelmezés, és kell a NOD32 telepítéskor minden egyes felhasználónak magának kézzel kiválasztania, akarja-e szűrni a kéretlen alkalmazásokat is vagy sem.

Éppen ezért eléggé hihetetlen, és inkább megtévesztési manővernek látszik egyelőre az is, hogy a ChronoPay jó útra térne, és mostantól Saulból Pál lesz: képeslapok és díszműáruk terjesztésével fog foglalkozni a legális antivírus bizniszben teszi majd tiszteletét ChronoPay Antivírus néven. Bár örömmel üdvözöljük, hogy "olyan egyszerű és letisztult felületet szeretne, mint az ESET-é", Pavel Vrublevsky ezen állítását majd igazából akkor hisszük el, ha a termék valóban meg is jelenik, és majd megvédi első VB100 díját.

Ha már a módszereknél tartunk, már korábban is láthatóak voltak olyan kezdeményezések, amikben a Bejelentett Támadó Webhely ablakát utánozva igyekeztek megtéveszteni a nagyérdeműt. Ezekre, a legitim böngésző üzenetekre hasonlító, preparált, megtévesztő ablakok felbukkanásáról írt a Zscaler. Ám az igazi újdonság ezúttal ebben az, hogy először bukkant fel a különböző böngészőkre szabott hamis antivírus. Firefox alatt például nem csupán Firefox grafikai elemeket használnak fel benne, de közben manipulálják is a kártékony oldalakra történő figyelmeztető ablakokat is a jó öreg: fertőzés gyanú, kattints a Start Protection gombra a "mentesítéshez", fizess trükkel. Az a vicces az egészben, hogy a használt böngészőkliens függvényében minden kliensen testreszabva jelenik meg, például Chrome alatt az ottani megszokott elemekből áll, de természetesen tudja ezt lovon és trapézon is, így van Safaris változat is

Jó hír lehet, hogy a számtalan, folyamatosan bővülő How to Remove útmutatókon felül számos antivírus cég kínál letöltésre ingyenes egyedi rogueremover segédprogramot, ugyanis a mentesítés sok esetben nehézkes, sok komponenst érintő fáradságos és összetett folyamat. Emellett szemlátomást kialakult egy hamis antivírusok eltávolítására specializálódott fejlesztői kör is, egyikük - a Frontline Rogue Remover - még a YouTube videóval is reklámozza magát. A weboldaluk kinézete kissé hasonlít a hamis antivírus oldalakra, de állítólag valóban mentesít. Ha esetleg használta már valaki, bátran kommenteljen a tapasztalatairól.

Egy biztos, ez az "üzletág" egyre inkább virágzik, így mi csak annyit tehetünk, hogy egyfelől használunk valamilyen valódi megbízható, nem fake antivírust, másfelől pedig még óvatosabbak, alaposabbak leszünk, és jobban vigyázun netezés közben.

Szólj hozzá!
Címkék: botnet antivirus leleplezés brian rogue krebs chronopay

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása