Falešné antiviry se množí jako houby po dešti

Fenomén nastrčeného „antivirového“ (AV) softwaru získává na síle takovým tempem, že by brzy mohl překonat všechny další typy škodlivého kódu.

Falešné antiviry se množí jako houby po dešti


Nejnovější zpráva bezpečnostní společnosti PandaLabs - The Business of Rogueware - obsahuje standardní statistiky o růstu malwaru, které nalezneme snad ve všech bezpečnostních reportech. Zpozornět bychom však měli při pohledu do sekce falešných antivirů („rogue anti-virus").

V prvním čtvrtletí roku 2009 společnost odhalila více nastrčených antivirů a jejich variant - celkem 111 000 - , než během celého loňského roku. Zatím nepotvrzená čísla naznačují, že během druhého čtvrtletí 2009 toto číslo stoupne na závratných 374 000. Tento vzestup koreluje se statistikami další bezpečnostní společnosti Sophos. Ta dnes odhalí okolo 15 nových webových stránek s falešným antivirem denně, zatímco ve druhé polovině loňského roku to bylo jen 5 denně.

Podle odhadů firmy PandaLabs se ke konci letošního roku dostaneme až na celkové číslo 637 000 nastrčených antivirů, což by oproti loňsku představovalo desetinásobný nárůst. Každý měsíc přitom dojde k nakažení asi 30 milionů PC.

Důvody růstu popularity tohoto druhu škodlivého kódu jsou podle PandaLabs i Sophosu zčásti technické a zčásti ekonomické. Technicky jsou falešné antiviry často těžko odhalitelné, neboť jde hlavně o hru s myslí uživatele. Toho je nutno přesvědčit, že je jeho počítač nakažen, ačkoli tomu tak ve skutečnosti není. Jakmile uživatel odsouhlasí instalaci softwaru k odstranění oné neexistující hrozby, obdrží tvůrce falešného antiviru určitou sumu za licenci (většinou od 29 do 79 USD). Falešný antivirus pak na počítači uživatele nemusí vyvíjet žádnou činnost a snadno zůstane neodhalený normálním antivirovým programem.

Ačkoli některé typy falešných antivirových programů vyvíjejí odhalitelné chování vlastní škodlivému kódu, je mnoho z nich pojištěno ještě tzv. polymorfismem na straně serveru. Jde o to, že se pak vytvoří celá řada souborů (v tomto případě falešného antiviru) různých velikostí, ale se stejnou funkcí, což dále stěžuje detekci. V jiných případech je nastrčený antivir nainstalován až po separátním napadení škodlivým kódem. Nastrčený AV pak generuje falešná bezpečnostní varování.

Vypadá to, že letos se zločincům povedlo výrazně vylepšit svůj obchodní model. Shromáždili distribuční kanály, jejimž majitelům slíbili motivační odměny, a jejichž prostřednictvím dostávají škodlivý kód na počítače nic netušících uživatelů. Podle zástupců společnosti PandaLabs si může vlastník takové distribuční webové stránky týdně přijít až na neuvěřitelných 87 000 dolarů.

Graham Cluley ze společnosti Sophos uživatelům doporučuje, aby si před koupí jakéhokoli softwaru z webu nejprve prověřili společnost, která za vším stojí - a to například prostřednictvím webu Whois.

Dodavatele softwaru si lze ověřit také prostřednictvím veřejně dostupných whitelistů, jako je kupříkladu Common Computing Security Standard Forum (CCSS). Tento přístup má však podle Cluleyho jednu zásadní slabinu: „Viděl jsem společnosti, které se vydávaly za Kaspersky nebo Symantec," varuje.





Komentáře