Share via


新的網路詐騙手法 - 利用MSE知名度仿製幾可亂真的惡意程式,引誘使用者下載安裝

一種新的流氓軟體出現了,目前命名為:流氓軟體:MSIL/Zeven。我們在收到這個程式的樣本和 URL 之後,即開始進行相關調查。

設計出這種流氓軟體的人,「非常」喜歡抄襲。他們一開始先自動偵測使用者正在使用的瀏覽器,如果是 Internet Explorer、Chrome 或 Firefox,就假造出惡意程式警告的頁面。這是一種利用社交工程的詐欺手法,目的是要利用使用者對於其常用瀏覽器的信任,誘騙使用者下載並安裝該流氓軟體。這些假造的頁面看起來幾可亂真,甚至還可以矇騙專業技術人員。舉例來說,在 Firefox 的頁面中,您會發現這並不是真正的警告頁面,因為頁面中的英文「out」拼錯了,寫成「Get me our of here」。

但是就上述三種瀏覽器而言,一般來說您不會注意到的是,在真正的瀏覽器警告中並不會提供所謂的「更新」或是「解決方案」。所有此類「更新」連結都指向保證提供「能偵測最新惡意程序的防護程式」。一般正常狀況中任何一種瀏覽器如Internet Explorer、Firefox 和 Chrome 在封鎖一個網站時,並不會提供此類解決方案。

安裝 MSIL/Zeven 後,產品看起來幾可亂真:讓您可以掃描檔案、通知您更新在背景中仍繼續執行,並且讓您可以自行更改安全性和隱私設定。在許多合法的防毒解決方案中也通常都會有這些功能可以使用,但是在 MSIL/Zeven 中,這些功能完全沒有作用;一切都只是假象而已,也不會提供任何防護的功能(就像其他流氓軟體防毒程式一樣)。

當然,當這個程式掃描過您的電腦以後,就會宣稱已在您的電腦中找到恐怖的惡意程式,如下圖所示:

依照慣例,流氓軟體掃描器就算是「找到」惡意檔案,程式也會宣稱除非您進行更新,否則就無法刪除這些惡意檔案。這也就表示,您必須付費購買完整版本的程式,才可以下載更新。但是,這些掃描器所找到的惡意檔案其實是假的;在使用者的電腦裡根本沒有這些檔案。

如果您決定要購買此產品,這個 流氓軟體 就會開啟一個啟用「安全瀏覽模式」和高強度加密功能的 HTML 視窗,在您購買產品時「協助」及「保護」您。當然,這些功能一點用處也沒有,而且無法保護您信用卡詳細資料的安全。

流氓軟體 防毒程式的首頁外觀也與 Microsoft Security Essentials (MSE) 網頁十分相似 – 這也是這些罪犯仿造的手法。設計出這個流氓軟體的人甚至還剽竊 Microsoft Security Essentials 獲得的認證以及與 Microsoft 惡意程式碼防護中心 (MMPC) 的連結 - 非常狡猾。

這是此流氓軟體首頁的螢幕擷取畫面:

以下才是真正的 Microsoft Security Essentials 網頁螢幕擷取畫面,提供您比對:

看起來這些人似乎是想要利用 Microsoft Security Essentials 的名聲和成功獲利 - 但是我們會提醒我們的客戶,Microsoft Security Essentials 下載完全免費,而且可以真正保護您的電腦,不受惡意程式危害!

附註:此種流氓軟體下載器和流氓軟體均偵測為流氓軟體:MSIL/Zeven。