Computerworld News Service: Falske antivirus-programmer bliver mere og mere udbredte på internettet, og skaberne bruger stadigt smartere metoder for at lokke brugerne til at installere programmerne, fortæller en ny rapport fra Google.
Google er netop blevet færdig med en 13 måneder lang undersøgelse af omkring 240 millioner hjemmesider.
Virksomheden vurderer, at 11.000 af dem var involveret i distribution af falske antivirus-programmer, og at den slags programmer udgør 15 procent af al ondsindet software på nettet.
Der findes flere tusinde versioner af falske antivirus-programmer, men de fungerer alle sammen ved at bilde brugerne ind, at deres computer er blevet inficeret med malware.
Programmet presser derefter brugeren til at købe software, der på overfladen ser legitim ud, men som ikke indeholder nogen egentlig funktionalitet.
"Nu er de falske AV-sider også begyndt at anvende kompleks JavaScript til at imitere Windows-brugerfladen," står der i rapporten. "I enkelte tilfælde kan den falske AV endog aflæse styresystemet på offerets maskine og tilpasse sin egen brugerflade, så den minder om."
Brugeren bliver typisk spurgt, om de vil rense deres maskine, og hvis de siger ja, begynder det falske program at downloade. Falsk antivirus bliver som regel spredt via social engineering frem for ved at udnytte sårbarheder i software på offerets computer, oplyser Google.
Bagmændene anvender som regel online-reklamer via populære nøgleord, selv om Google fortæller, at virksomheden filtrerer URL'er for at finde frem til de ondsindede sider.
Browseren bliver omdirigeret
Google vil sortliste domæner for at advare folk, men de falske sider skifter domæner hurtigere end nogensinde for at undgå at ende på listen over blokerede sider.
Et domæne, der hoster falsk antivirus-software plejede at stå bag indholdet i op mod 100 timer i april 2009, fortæller Google. Men det tal er faldet til under 10 timer i september 2009 og til mindre end en time i januar.
"Disse trends tyder på domæne-rotation, som er en teknik, der giver angriberen mulighed for at drive trafikken hen til en vist antal IP-adresser via flere forskellige domæner," fortæller rapporten.
"Det bliver typisk opnået ved at opsætte et vist antal 'landing domains' enten som dedikerede sider eller ved at inficere legitime hjemmesider, som kan omdirigere browseren til et sted, der er under angriberens kontrol."
Google oplyser, at de legitime antivirus-programmer har svært ved at identificere de falske programmer på grund af 'polymorfisme', som er en teknik, der bruges til at få en applikation til at virke unik og dermed omgå malware-scannere.
Falske antivirus-programmer har heller ikke undgået juridisk opmærksomhed. Efter en klage fra den amerikanske handelskommission (FTC) beordrede en dommer seks mennesker og to virksomheder til at afslutte salget af de falske sikkerhedsprodukter, som gik under navnene WinFixer, WinAntivirus, DriveCleaner, ErrorSafe og XP Antivirus.
I forbindelse med den sag har handelskommissionen krævet en bøde på knap 11 millioner kroner af James Reno og hans webhosting-virksomhed ByteHosting Internet Service of Ohio. I juni 2009 blev dette krav dog nedsat til godt 650.000 kroner.
Oversat af Marie Dyekjær Eriksen
