Jaa


Rogue Security Software

Tenkte bare å poste litt erfaringer rundt dette, etter en lengre privat support runde med problemet. En ganske interessant tilnærming til malware..

 

Hva er det?

Rogue security software er programmer som utgir seg for å være anti-virus, anti-spyware eller lignende, men definitivt ikke er det. Denne typen malware hadde en voldsom vekst i 2007. Programmet sprer seg gjerne via malware av annen type, som regel av to grunner. For å reklamere eller for å "detektere" ikke-eksisterende malware på maskina, skremme brukeren og få denne til å betale for en fullversjon for å fjerne "viruset".

 

Hva gjør de?

Samtidig som de "detekterer" virus på maskina de forteller de at det kan fjernes, men at en fil må lastes ned og installeres. Som de fleste av oss som jobber med data skjønner er kanskje ikke det det lureste, spesielt når du vet at du aldri installerte  programmet WinSpyKiller selv f.eks. Men disse programmene er blitt bedre og bedre til å bygge tillitt og misbruker gjerne logoer eller lignende fra andre. Den utgaven jeg møtte på igår brukte vår logo. En av dem hadde også integrert seg med IE og genererte Popups fra IE selv, som fortalte brukeren at et sikkerhetsproblem var funnet. Altså mye de samme prinsippene som phishing, bygge opp tillitt fra brukeren på alle mulige måter.

 

Det hender også programmene gjør helt andre ting, det finnes eksempler på at når brukeren sier ja til å kjøpe blir han redirigert til et pornonettsted istedet. De fleste er også ganske "popup intensive" og varsler brukeren veldig mye. Det viste seg med flere av de jeg fant at de også økte tempo bektraktelig når jeg gikk inn på Windows update siden (dette var jo selvsagt på en XP maskin;) og de reagerte også på at jeg starte online scanneren fra www.onecare.com. I utgangspunktet testet jeg dette for å se om nettstedene var blokkert, men malwaren økte istedet tempo på popup'en.

 

Fjerning og deteksjon

De fleste store anti-virus leverandørene har signaturer på flere av disse "programmene", men oftest er det tilhørende ordinær malware, som trojaneren som installerte rogue security software som blir tatt. På maskina jeg var igår var det oppdatert Anti-virus fra en av de store leverandørene. Jeg er ikke helt ferdig med å se på det og en av testene videre blir å se om det er problemer med manglende signaturer eller om antivirus programmet faktisk er satt ut av funksjon.

 

Eksempler på Rogue security software