Незаконное программное обеспечение безопасности - Rogue security software

«MS Antispyware 2009» перенаправляется сюда. Не следует путать с Microsoft Antispyware.

Незаконное программное обеспечение безопасности это форма вредоносное ПО и Интернет-мошенничество что заставляет пользователей поверить в то, что существует вирус на своем компьютере и стремится убедить их заплатить за поддельный вредоносное ПО инструмент для удаления, который фактически устанавливает вредоносное ПО на их компьютер. Это форма пугающее ПО который манипулирует пользователями через страх, и форма программа-вымогатель.[1] Несанкционированное программное обеспечение безопасности представляет собой серьезную угрозу безопасности настольных компьютеров с 2008 года.[2] Двумя из первых примеров дурной славы были BraveSentry и ШпионШериф.

Распространение

Незаконное программное обеспечение безопасности в основном полагается на социальная инженерия (мошенничество ) чтобы победить безопасность встроен в современный Операционная система и программное обеспечение браузера и устанавливается на компьютеры жертв.[2] Веб-сайт может, например, отображать фиктивное диалоговое окно с предупреждением о том, что чей-то компьютер заражен Компьютерный вирус, и поощрять их через манипуляция установить или купить пугающее ПО в уверенности, что они покупают настоящие антивирусное программное обеспечение.

У большинства есть троянский конь компонент, который пользователи вводят в заблуждение. Троянец может быть замаскирован под:

  • Браузер плагин или расширение (обычно панель инструментов)
  • Изображение, заставка или архивный файл прикреплен к электронное письмо сообщение
  • Мультимедийный кодек, необходимый для воспроизведения определенного видеоклип
  • Программное обеспечение опубликовано на пиринговый сети[3]
  • Бесплатная онлайн-служба проверки на вредоносное ПО[4]

Однако некоторые мошеннические программы безопасности распространяются на компьютеры пользователей как попутные загрузки которые эксплуатируют уязвимости безопасности в веб-браузерах, средствах просмотра PDF-файлов или почтовых клиентах, чтобы установить себя без какого-либо вмешательства вручную.[3][5]

В последнее время распространители вредоносных программ использовали SEO отравление техники путем выталкивания зараженных URL-адреса вверху результатов поисковой системы о последних новостях. Люди, которые ищут статьи о таких событиях в поисковой системе, могут столкнуться с результатами, которые при нажатии вместо этого перенаправляются через ряд сайтов.[6] прежде чем попасть на целевую страницу, где говорится, что их машина заражена, и отправляет загрузку на «пробную» мошенническую программу.[7][8] Исследование 2010 г. Google обнаружили 11 000 доменов, на которых размещено поддельное антивирусное ПО, что составляет 50% всех вредоносных программ, распространяемых через интернет-рекламу.[9]

Холодный звонок также стал вектором распространения этого типа вредоносного ПО, при этом звонящие часто утверждают, что они из службы поддержки Microsoft или другой законной организации.[10]

Распространенные переносчики инфекции

Черная шляпа SEO

Черная шляпа поисковая оптимизация (SEO) - это метод, с помощью которого поисковые системы заставляют показывать вредоносные URL-адреса в результатах поиска. Вредоносные веб-страницы заполняются популярными ключевыми словами для достижения более высокого рейтинга в результатах поиска. Когда конечный пользователь ищет в Интернете, возвращается одна из этих зараженных веб-страниц. Обычно самые популярные ключевые слова из таких сервисов, как Google Тренды используются для создания веб-страниц с помощью сценариев PHP, размещенных на взломанном веб-сайте. Эти PHP Затем скрипты будут отслеживать поисковые роботы и кормить их специально созданными веб-страницами, которые затем отображаются в результатах поиска. Затем, когда пользователь ищет свое ключевое слово или изображения и нажимает на вредоносную ссылку, он будет перенаправлен на полезную нагрузку программного обеспечения безопасности Rogue.[11][12]

Вредоносная реклама

Большинство веб-сайтов обычно используют сторонние сервисы для рекламы на своих веб-страницах. Если одна из этих рекламных служб будет взломана, они могут в конечном итоге случайно заразить все веб-сайты, использующие их службу, путем рекламы мошеннического программного обеспечения безопасности.[12]

Спам-кампании

Спам сообщения, содержащие вредоносные вложения, ссылки на двоичные файлы и сайты попутной загрузки, являются еще одним распространенным механизмом распространения мошеннического программного обеспечения безопасности. Спам-сообщения часто рассылаются с контентом, связанным с типичными повседневными действиями, такими как доставка посылок или налоговые документы, призванные побудить пользователей переходить по ссылкам или запускать вложения. Когда пользователи поддаются подобным уловкам социальной инженерии, они быстро заражаются либо напрямую через вложение, либо косвенно через вредоносный веб-сайт. Это известно как попутная загрузка. Обычно при атаках на основе закачки вредоносное ПО устанавливается на машину жертвы без какого-либо взаимодействия или осведомленности и происходит просто при посещении веб-сайта.[12]

Операция

После установки мошенническое программное обеспечение безопасности может попытаться побудить пользователя приобрести услугу или дополнительное программное обеспечение с помощью:

  • Оповещение пользователя о поддельном или имитационном обнаружении вредоносного ПО или порнография.[13]
  • Отображение анимации, имитирующей сбой системы и перезагрузку.[2]
  • Выборочное отключение частей системы, чтобы пользователь не смог удалить вредоносное ПО. Некоторые также могут препятствовать запуску программ защиты от вредоносных программ, отключать автоматическое программное обеспечение обновления и блокировать доступ к веб-сайтам поставщиков средств защиты от вредоносных программ.
  • Установка реальных вредоносных программ на компьютер с последующим предупреждением пользователя после их «обнаружения». Этот метод менее распространен, поскольку вредоносное ПО может быть обнаружено законным антивирусные программы.
  • Изменение системных реестров и настроек безопасности с последующим «предупреждением» пользователя.

Разработчики мошеннического программного обеспечения безопасности также могут побуждать людей к покупке их продукта, заявляя, что они направляют часть своих продаж на благотворительные цели. Например, мошеннический антивирус Green утверждает, что жертвует 2 доллара на программу по охране окружающей среды с каждой совершенной продажи.

Некоторые мошеннические программы безопасности частично совпадают по функциям с пугающее ПО также:

  • Представление предложений по устранению неотложных проблем с производительностью или выполнению необходимых работ на компьютере.[13]
  • Напугать пользователя, представляя аутентичные всплывающие предупреждения и предупреждения системы безопасности, которые могут имитировать реальные системные уведомления.[14] Они предназначены для использования доверия, которое пользователь испытывает к поставщикам законного программного обеспечения безопасности.[2]

Санкции FTC и растущая эффективность средств защиты от вредоносных программ с 2006 г. затруднили шпионское ПО и рекламное ПО распределительные сети - уже сложные для начала[15]- работать с прибылью.[16] Вместо этого поставщики вредоносного ПО обратились к более простым и выгодным Бизнес модель мошеннического программного обеспечения безопасности, которое нацелено непосредственно на пользователей настольные компьютеры.[17]

Незаконное программное обеспечение безопасности часто распространяется через очень прибыльные партнерские сети, в котором аффилированным лицам, поставляющим троянские наборы для программного обеспечения, выплачивается вознаграждение за каждую успешную установку и комиссию с любых связанных с этим покупок. Затем филиалы становятся ответственными за создание векторов заражения и инфраструктуры распространения программного обеспечения.[18] В ходе расследования, проведенного исследователями в области безопасности мошеннического программного обеспечения Antivirus XP 2008, была обнаружена именно такая партнерская сеть, участники которой получали комиссионные свыше $доллар США 150 000 за 10 дней из десятков тысяч успешных установок.[19]

Контрмеры

Частные усилия

Правоохранительные органы и законодательство во всех странах очень медленно реагировали на появление мошеннического программного обеспечения безопасности, даже несмотря на то, что оно просто использовало новые технические средства для совершения в основном старых и хорошо известных видов преступлений. Напротив, несколько частных инициатив, предусматривающих дискуссионные форумы и списки опасных продуктов, были основаны вскоре после появления первого мошеннического программного обеспечения безопасности. Некоторые уважаемые поставщики, такие как Kaspersky,[20] также начали предоставлять списки мошеннического программного обеспечения безопасности. В 2005 г. Коалиция по борьбе с шпионским ПО была основана коалиция компаний-разработчиков программного обеспечения для защиты от шпионского ПО, ученых и групп потребителей.

Многие из частных инициатив изначально были неформальными обсуждениями общих Интернет-форумы, но некоторые из них были начаты или даже полностью выполнены отдельными людьми. Пожалуй, самый известный и обширный - это список вредоносных / подозреваемых антишпионских продуктов и веб-сайтов Spyware Warrior, составленный Эриком Хоусом,[21] который, однако, не обновлялся с мая 2007 года. Веб-сайт рекомендует проверять следующие веб-сайты на предмет наличия новых мошеннических антишпионских программ, большинство из которых на самом деле не новы и являются «просто переименованными клонами и подделками тех же мошеннических приложений, которые были на протяжении многих лет ".[22]

Государственные усилия

В декабре 2008 г. Окружной суд США Мэриленда - по запросу FTC - выпустил запретительный судебный приказ против Innovative Marketing Inc, a Киев Фирма, производящая и продающая мошеннические программные продукты безопасности WinFixer, WinAntivirus, DriveCleaner, ErrorSafe, и Антивирус XP.[23] Активы компании и ее веб-хостинга ByteHosting Internet Hosting Services LLC, расположенного в США, были заморожены, им было запрещено использовать доменные имена связанных с этими продуктами и любой другой рекламой или ложным представлением.[24]

Правоохранительные органы также оказали давление на банки, чтобы те закрыли торговые шлюзы, участвующие в обработке покупок мошеннических программ безопасности. В некоторых случаях высокая громкость кредитная карта возвратные платежи генерируемые такими покупками, также побудили переработчиков принять меры против мошеннических поставщиков программного обеспечения безопасности.[25]

Смотрите также

Рекомендации

  1. ^ "Отчет Symantec о незаконном программном обеспечении безопасности" (PDF). Symantec. 2009-10-28. Получено 2010-04-15.
  2. ^ а б c d «Отчет службы безопасности Microsoft, том 6 (июль - декабрь 2008 г.)». Microsoft. 2009-04-08. п. 92. Получено 2009-05-02.
  3. ^ а б Доши, Нишант (19 января 2009 г.), Вводящие в заблуждение приложения - покажите мне деньги!, Symantec, получено 2016-03-22
  4. ^ Доши, Нишант (21 января 2009 г.), Вводящие в заблуждение приложения - покажите мне деньги! (Часть 2), Symantec, получено 2016-03-22
  5. ^ "News Adobe Reader и уязвимость Acrobat". blogs.adobe.com. Получено 25 ноября 2010.
  6. ^ Чу, Киан; Хонг, Чун (30 сентября 2009 г.), Новости о землетрясении на Самоа приводят к появлению Rogue AV, F-Secure, получено 2010-01-16
  7. ^ Хайнс, Мэтью (2008-10-08), Дистрибьюторы вредоносных программ осваивают новости SEO, eWeek, получено 2010-01-16
  8. ^ Рейвуд, Дэн (2010-01-15), На ссылках, связанных с землетрясением на Гаити, преобладает мошеннический антивирус, так как донорам рекомендуется внимательно искать подлинные сайты, SC Magazine, получено 2010-01-16
  9. ^ Мохиб Абу Раджаб и Лука Баллард (13 апреля 2010 г.). «Эффект Ноцебо в сети: анализ распространения поддельного антивируса» (PDF). Получено 2010-11-18. Цитировать журнал требует | журнал = (помощь)
  10. ^ «Предупреждение о холодных звонках антивируса пользователям Интернета в Великобритании». Новости BBC. 2010-11-15. Получено 7 марта 2012.
  11. ^ «Технические документы Sophos - Sophos SEO Insights». sophos.com.
  12. ^ а б c "Путешествие фальшивого антивируса Sophos от трояна tpna" (PDF).
  13. ^ а б «Бесплатное сканирование безопасности» может стоить времени и денег, Федеральная торговая комиссия, 2008-12-10, получено 2009-05-02
  14. ^ «SAP на распутье после проигрыша приговора в размере 1,3 млрд долларов». Yahoo! Новости. 24 ноября 2010 г.. Получено 25 ноября 2010.
  15. ^ Свидетельство Ари Шварца о "шпионском ПО" (PDF), Комитет Сената по торговле, науке и транспорту, 2005-05-11
  16. ^ Лейден, Джон (11 апреля 2009 г.). "Zango идет вверх: конец рынка рекламного ПО для настольных ПК". Реестр. Получено 2009-05-05.
  17. ^ Коул, Дэйв (2006-07-03), Десептономика: взгляд на вводящую в заблуждение бизнес-модель приложения, Symantec, получено 2016-03-22
  18. ^ Доши, Нишант (27 января 2009 г.), Вводящие в заблуждение приложения - покажите мне деньги! (Часть 3), Symantec, получено 2016-03-22
  19. ^ Стюарт, Джо. "Незаконный антивирус проанализирован - Часть 2". Secureworks.com. SecureWorks. Получено 9 марта 2016.
  20. ^ «Безопасность 101». support.kaspersky.com. Получено 11 ноября 2018.
  21. ^ "Spyware Warrior: Rogue / Suspect Anti-Spyware Products & Web-сайты". spywarewarrior.com.
  22. ^ "Руководства по удалению вирусов, шпионского и вредоносного ПО". КровотечениеКомпьютер.
  23. ^ Ex Parte временный запретительный судебный приказ RDB08CV3233 (PDF), Окружной суд США округа Мэриленд, 2008-12-03, получено 2009-05-02
  24. ^ Лордан, Бетси (2008-12-10), Суд остановил поддельное компьютерное сканирование, Федеральная торговая комиссия, получено 2009-05-02
  25. ^ Кребс, Брайан (2009-03-20), «Демонтаж сети распространения незаконных антивирусов», Вашингтон Пост, получено 2009-05-02

внешняя ссылка