Minden nap és mindenhogyan egyre jobban és jobban

2011. július 28. 15:10 - Csizmazia Darab István [Rambo]

Úgy tűnik, egyre komolyabb szinten tör borsot az orrunk alá a hamis antivírus ipar. A módszerek folyamatosan változnak, finomodnak, és egyáltalán nem lehet elintézni egy - áh, ez csak a buták ötven dolláros lehúzása típusú sommás ítélettel.

Ha mogyoróhéjban összefoglaljuk a hamis AV történetét, akkor a történelmi időkben még egy kósza magyar szálat is láthatunk, mert az úgynevezett Furkó Antivírusról is érdemes megemlékezni mint a pénzért semmit módszer egyik első darabjáról, de természetesen a mainstream az angol nyelvterületen úgy 2007 tájékán kezdett megerősödni a SpySheriff, az Antivirus XP 2008 és társai képében és hasonlatosságában. Ezek aztán folyamatos új neveken, apró változtatásokkal, ügyeskedésekkel - hamis RIAA fenyegetés, kamu vírus riasztás helyett/mellett kamu levélküldési riasztás, riasztás a böngésző hibaablakban, etc. - próbálták a maguk betevő 50-100 USD-jüket sikerrel begyűjteni.

Volt aztán olyan szál, ami a kreatív névadással kapcsolatban felhasznált már létező, IT biztonságban jól csengő ismert neveket, és volt olyan is, ami ezen túlmenve már valódi antivírus cégek hírnevének rombolásával, webhelyük, termékük hamisításával igyekezett pontokat szerezni magának. Úgy tűnik, most még újabb fejezethez érkeztünk, az új módszer miatt a Facebook és YouTube felhasználók tömegének érdemes figyelmesebbnek lenni.

A video formájában terjedő megtévesztés sok áldozatot tud szedni, mert látszólag baráttól érkezik. A hamis YouTube videó esetében a mi saját nevünk is megjelenik, így fokozva a megtévesztést, a "hitelességet". Kattintás után video helyett - hű micsoda meglepetés - Flash plugint szeretne frissíteni: "You need upgrade your Adobe Flash Player!".

A zöld disznós és hamis kodekes meséken szocializálódott felhasználók tömegei itt kaján vigyorral már azt mondhatják: na persze, nice try, fotomemóriájú olvasóinknak pedig a majd három éves hamis Flash plugines történetünk is bevillanhat - a többiek viszont kattintanak.

A "Flash Plugin" frissítés leánykori nevén a települt Trojan.FakeAV kártevő igyekszik hatástalanítani az esetleges valódi vírusirtót, sőt a tűzfal üzenetek feletti irányítást is átveszi. Ezt úgy éri el - és itt jön az érdekesség - hogy megkeresi pontosan milyen antivírust használunk a gépen, majd ennek a programnak az üzenet ablakát imitálva a megfelelő nyelven hamisítva csökkentett módú újraindítást kér állítólagos kártevők mentesítésére hivatkozva. Az újraindítás után azonban a csökkentett módban Registry átírással kikapcsolja a valódi vírusvédelmet és átveszi a fertőzött gépen az uralmat. Valljuk be, ez azért nem ügyetlen dolog. A BitDefender szakértői szerint már legalább 16 különböző antivírus hatástalanítására van felkészítve az említett trójai

Milyen tanácsokat lehetne összegyűjteni a hatékony védekezéshez? Telepíteni, kattintani továbbra is csak óvatosan, legyen naprakész a Windows és a böngészőkliens is, továbbá Flash plugint csak őstermelőtől, illetve izé csak és kizárólag az Adobe oldaláról.

3 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr363106581

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.