SMS küldős hamis antivírus

2011. április 11. 14:10 - Csizmazia Darab István [Rambo]

Durvul a helyzet az álantivírus fronton, egyre újabb piszkos trükkök kerülnek bevetésre, és sajnos már egyre gyakrabban sározzák be valódi vírusirtó cégek renoméját. Márkanevét kegyelettel lejáratjuk part III.

Az ismert és elismert nevekkel való visszaélés, trükközés nem most kezdődött, már több ízben volt terítéken, legutóbb példának okáért az úgynevezett "E-set Antivirus 2011" nevű program szolgáltatta az apropót ehhez. Ezúttal az Avast! hírneve kerül néminemű rongálásra egy kártékony kódokat terjesztő érdekes weboldal kapcsán, ám az alkalmazott furmányos technika merőben újszerű és vélhetően sajnos divatba fog jönni.

From The, From The: megugrott a tű a lemezen, illetve visszhangzik a kopipaszta...

Nem kell Sherlock Holmesnak lenni ahhoz, hogy az illető weboldalon ab ovo feltűnjenek bizonyos dolgok és ezekből hadrafogható következtéseket tudjunk levonni. Első lehet a név egyezés (hasonlóság) ellenére észlelhető logo különbség az eredetihez képest. Bár ezek inkább csak a biztonságos azonosításhoz szükséges apró nüanszok, ezek adják aztán a megnyugvás összképét vagy keltik fel bennünk a gyanút. Mindjárt ilyen egy weboldal favicon.ico ikonja, amelyik a böngésző sorban - mint egy megbízható ismerős - erősíti az érzést: a helyes weboldalon járunk. Nem azonos az eredetivel, de azért ha egymás mellé tesszük, látszik rajta, kétségkívül sokat reszelgettek rajta, hogy erősen hasonlítson.

Egy másik a megnyugvást sugárzó 24/7 technikai támogatás felirat, ám a kapcsolat szövegre kattintva mindössze egy info@ emailcím bukkan elő. Amelyik cégnek nincs publikus telephelye, címe, telefonszáma, az hiába ír ki 25/8, 35/9 és hasonló elmésségeket, valójában vagy el akar bújni a megkeresések elől, vagy takargatnivalója van. Ha saját házunk táján söprögetünk, íme ott mindez így néz ki, és itt a hazai is, de a többi valódi versenytársé is hasonló, csak úgy próbaképpen most reggel a McAfee lapját csekkoltuk ehhez.

Nem megyünk most itt végig a trükkös weboldal minden egyes elemén, akit érdekel, itt nézheti meg a domain bejegyzésüket, hanem menten belecsapunk a lecsóba: ehhez pedig a weboldal legalsó sora adja a megfelelő kulcsot és muníciót: "*ONLY FOR ADULT OVER 18 YEARS OLD AND SHALL REQUIRE SENDING ONE SMS FOR INSTALLATION, AND YOU WILL RECEIVE ONE CODE. THE PRICE OF EACH SMS IS 3€. TOTAL COST OF SERVICE 3€ + PRICE OF A REGULAR SMS . IF YOU WANT TO DOWNLOAD FROM THE FROM THE SOFTWARE'S OWNER CLICK HERE. THIS SITE IS NOT A AFFILIADED TO THE SOFTWARE'S ONWER AND ONLY OFFER A VERIFIEDED LINK FREE OF VIRUS AND SPYWARES. THANKS FOR YOU VISIT us. Contact". Magyarul nincs 2 hétig, vagy egy hónapig használható ingyenes próbaváltozat, ellenben van megrendelői emeltdíjas SMS 3 EUR-ért - ez mai középárfolyamon darabonként kábé 800 HUF, egy a küldéshez, plusz egy a "kód" fogadásához.

Hogy a jogi csűrcsavar se maradjon ki a zavarosban halászási dologból, a hamisítók gondosan megtervezik, mivel védekezhetnek, ha esetleg netalántán egyszer megszorongatják őket. Hiszen az ő programjuk nem "Avast!" hanem csak "Avast", ők nem hamisítottak semmit se nem ;-) Ám ha az átlagnetezőket vizsgálnánk, hányan vesznek észre ilyen különbségeket, azt kapnánk, jó részük a valódi programot vélte felismerni. Azt is észrevehetjük, hogy a valódi Avast.com oldalra is mutat egy link az alsó sorban (IF YOU WANT TO DOWNLOAD FROM THE FROM THE SOFTWARE'S OWNER CLICK HERE), talán ez is már egy olyan trükk, amivel úgy gondolják, eredményes védekezhetnek majd a bíróságon.

Mindesetre amit ők terjesztenek, az nem valódi vírusirtó, erről egy VirusTotal is könnyen meggyőzhet minket, és erről árulkodnak a témáról folyamatosan megjelenő How To Remove intrukciók is.

Érdekes, hogy a riportban az Avast! is riaszt erre a kódra, nevesíti, de a weboldalt még nem sikerült neki bezáratnia, talán a fenti dolgok is sikerrel kuszálják össze a különben teljesen egyértelmű helyzetet és annak bizonyítását.

Mi következik mindebből? Egyfelől gyanakodjunk, ha váratlanul egy kasperkyfrance.com vagy nod32england.com weboldalt látunk - lehet hogy nincs ezzel semmi gond, de ez feltétlenül ellenőrizendő. Másfelől a "cipőt a cipőboltból" szlogen alapján a megbízható letöltést kizárólag a gyártó-hivatalos viszonteladó weblapjáról/apple storeból/hivatalos tárolóból elv lehet az, amit még alaposabban érdemes lehet megszívlelni.

1 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2011.04.12. 10:07:21

Fájt a szívem, hogy ennyire nem érdekelt ez a tegnapi téma senkit. Pedig nem is akartam, hogy ilyen gyorsan igazam legyen, de itt egy mai cikk, és benne már egy "McAfee VirusScanPlus" screenshot.
news.cnet.com/8301-27080_3-20052203-245.html

A beszámoló szerint: "The company has seen five versions of the rogue security programs masquerading as software from Avast, Norton, McAfee, BitDefender, and RootKitBuster, and they, as usual, target Windows systems."
süti beállítások módosítása