Befellegzett a hamis víruskeresőknek - vagy mégsem?

Noha a hamis víruskeresők száma az elmúlt időszakban jelentősen csökkent, azért a kiberbűnözők a kedvező trendekbe most is belerondítottak. Mutatjuk a legújabb trükkjüket.
 

Egy évvel ezelőtt még nagyon sok olyan hír, beszámoló, figyelemfelhívó közlemény jelent meg az interneten, amelyek a hamis víruskeresők kockázataira világítottak rá. Aztán viszonylag rövid idő alatt a kiberbűnözés berkein belül valami megváltozott, és az ál-antivírusok elkezdtek háttérbe szorulni. A biztonsági szakemberek egyöntetűen úgy gondolják, hogy a változások hátterében semmi más nem áll, mint a pénz. A csalók számára ugyanis egyre kevesebb profitot hoztak a hamis alkalmazások, miközben más módszerekkel több pénzt tudtak kasszírozni. Az ál-antivírusoktól egyre inkább a fájlokat titkosító károkozók felé mozdultak el, amikkel jelentős veszteségeket idéztek elő, és sokkal inkább sarokba tudták szorítani a felhasználókat.
 
A Microsoft legutóbbi beszámolójából is az derült ki, hogy a hamis víruskeresők mennyisége az elmúlt egy évben kisebb kilengésekkel ugyan, de csökkent. Az olyan korábban komoly hírnevet szerzett károkozók, mint amilyen a Winwebsec, a OneScan, a FakeXPA vagy a FakePAV mára már jelentősen vesztettek az erejükből, és már nem tartoznak a csalók legfontosabb fegyverei közé.  
A hamis víruskeresők háttérbe szorulásával azonban a biztonsági helyzet sajnos nem lett jobb, sőt a fájltitkosító programok előretörése miatt még komolyabb fenyegetettségekkel kell szembe nézni. Az előttünk álló hónapokban pedig még fokozottabb vírusterjedésre van kilátás. "Az elmúlt időszakban a hamis programok mennyiségében jelentős csökkentés következett be. Azonban úgy véljük, hogy szeptemberben ismét kedvezőtlenebbre fordul a helyzet, amikor a tanulók visszatérnek az iskolapadokba. A kilátások pedig tovább fognak romlani, ahogy egyre közelebb kerülünk az év végi ünnepi szezonhoz" - vélekedett Dodi Glenn, a ThreatTrack Security kutatási igazgatója. Eközben a Microsoft is arra hívta fel a figyelmet, hogy nincs ok a védelem fellazulására, és a túlzott elbizakodásra, ugyanis bőven akad még olyan ártalmas program, amire figyelni kell.
 
Hamis vírusriasztás böngészőbe ágyazva

A Microsoft Malware Protection Center kutatói az elmúlt napokban egy olyan károkozóra akadtak, amely kísértetiesen hasonlít a korábbi hamis víruskeresőkre, de egy kicsit másként működik. A Defru névre keresztelt kártevő a fertőzött számítógépeken manipulálja a Windows hosts állományát, és több mint 300 ismert weblap esetében végez átirányítást. Mindez a gyakorlatban azt jelenti, hogy ha a felhasználó meg akarja tekinteni az apple.com, a bing.com, a facebook.com, a microsoft.com, a yahoo.com stb. weboldalakat, akkor egy átirányítás következik be, és egy olyan weblap jelenik meg a böngészőben, amely egy állítólagos Windows Security alkalmazást tartalmaz. Az oldalon teljesen megalapozatlan biztonsági riasztások tűnnek fel, majd egy idő után a károkozó közli a felhasználóval, hogy a Windows Security teljes értékű verziójának megvásárlásával megszabadulhat – a valóságban nem is létező - fertőzésektől.  
A szoftvert egy online fizetési szolgáltatás segítségével lehet kifizetni. A csalók jelenleg 4,75 dollárt kérnek a haszontalan szerzeményükért.  
A Microsoft szerint szerencsére a Defru viszonylag könnyen eltávolítható a rendszerekről, és nem okoz helyreállíthatatlan problémákat. A károkozó az %appdata% könyvtárba kerül be w1ndows_[véletlenszerű karakterek].exe néven. Majd a regisztrációs adatbázis HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run kulcsába szúr be egy bejegyzést, amivel biztosítja, hogy az operációs rendszer újraindítása után is be tudjon töltődni. Emellett pedig a Windows hosts fájljához fűz hozzá sorokat. E módosítások helyreállításával a Defru akár manuálisan is eltávolítható a számítógépekről, de persze ettől még a naprakészen tartott víruskeresők használatát nem célszerű hanyagolni.