Rogue antivirus

Pseudo- antivirus (nebo pseudo -antivirus ) je počítačový program , který napodobuje odstranění škodlivého softwaru nebo nejprve infikuje a poté odstraňuje [1] . Koncem roku 2000 vzrostl význam nepoctivých antivirů jako hrozby pro osobní počítače [2] , po poklesu v červnu 2011 [3] . Zaprvé, vznik nečestných antivirů je způsoben tím, že ve Spojených státech částečně převzaly kontrolu nad spywarovým a adwarovým průmyslem [4] , a UAC a antiviry nechávají stále menší šance na pronikání softwaru bez vědomí uživatele. . Za druhé, existuje tolik plnohodnotných antivirových programů , že je těžké si je všechny zapamatovat. Takže k 17. lednu 2021 má VirusTotal 70 antivirů [5] .

Popis a způsob akce

Rogue antiviry patří do kategorie trojských koní [6] , to znamená, že je uživatel sám vede přes bezpečnostní systémy OS a antiviry. Na rozdíl od „ nigerijských dopisů “ (které hrají na chamtivost a soucit ), phishingu a falešných výher v loterii hrají nepoctivé antiviry na strachu z infikování systému [7] . Nejčastěji se vyskytují pod rouškou vyskakovacích oken webového prohlížeče , údajně skenují operační systém uživatele a okamžitě v něm detekují viry a další malware [2] . Pro co největší spolehlivost může být tento proces doprovázen i zavedením jednoho nebo více programů tohoto typu do systému vynecháním konfigurace [6] , zejména pokud má počítač minimální a snadno obejitelnou ochranu. Výsledkem je, že obětovaný počítač začne vydávat zprávy o nemožnosti pokračovat v práci kvůli infekci a falešný antivirus vytrvale nabízí odkoupení služby nebo její odblokování zadáním údajů o kreditní kartě [8] .

Úplně první nepoctivé antiviry vznikly s rozvojem internetu a byly to pouze okna napodobující OS (nejčastěji Průzkumník Windows a desktop rozhraní Windows XP ) s vlastními zvuky při načítání a mačkání tlačítek. Taková okna byla snadno odstraněna blokátory reklam, jako je Adblock Plus . Ve druhé polovině roku 2000 se falešné antiviry proměnily v plnohodnotné programy a začaly se vydávat za skutečné antiviry pomocí agresivní reklamy , falešných uživatelských recenzí nebo dokonce „otravování“ výsledků vyhledávání při zadávání klíčových slov (včetně témat, která se netýkají zabezpečení počítače) [9] [10] [11] . Takové programy byly koncipovány s názvy podobnými jménům skutečných antivirů (například Security Essentials 2010 namísto „ Microsoft Security Essentials “ nebo AntiVirus XP 2008 namísto „ Norton AntiVirus “) a fungovaly na principu přímého zasílání peněz distributorům – partnerské sítě pro každou úspěšnou instalaci [12] .

Statistiky

Koncem roku 2008 bylo zjištěno, že přidružená síť, která distribuovala Antivirus XP 2008 , dostala za svou práci asi 150 000 $ [13] . V roce 2010 Google dospěl k závěru, že polovina malwaru, který proniká přes reklamy, je nepoctivý antivirus [14] . Ten samý Google v roce 2011 vyřadil z vyhledávání doménu co.cc, levný hosting [15] , který hostoval mimo jiné distributory pseudoantivirů.

Distributor Benefit

Distributor může profitovat z nepoctivého antiviru různými způsoby.

• Typické chování malwaru: kradení účtů , blokování OS , zneužívání výpočetního výkonu počítače atd.
• Program umí v " demo režimu " simulovat detekci virů a vydávat varování, že OS není chráněn, a pro opravu požádat o registraci [16] [17] . Aby falešný antivirus vyvolal dojem infekce, může nainstalovat skutečné viry a poté je najít, uměle destabilizovat OS změnou kritických nastavení a dokonce simulovat „modré obrazovky“ [2] .
• Falešný antivirus může žádat o peníze na pseudocharitu [18] .
• Antivirový program může být skutečný (obvykle založený na ClamAV ), ale jeho cena je obvykle vyšší než cena analogů. Obvykle prodávají licenci na čtvrtletní bázi - abyste mohli porovnat ceny, musíte si přečíst podmínky a připojit aritmetiku.

Nejjednodušší známky nepoctivého antiviru

Stránky distributora

• Léčba nebo demonstrace přes web [19] . Webové prohlížeče jsou navrženy tak, aby web vůbec neměl přístup k souborům ležícím v počítači. Proto je dezinfekce přes web nemožná a služby antivirového skenování, jako je VirusTotal , nekontrolují disky, ale vyžadují, abyste výslovně poslali podezřelý soubor ke kontrole. A účinnost antiviru nekoreluje s krásou rozhraní.
• Velké množství neexistujících ocenění [19] .
• Skutečný antivirus nemůže zaručit "100% vyléčení". Virus je třeba chytit „ve volné přírodě“, jeden z internetových aktivistů jej pošle antivirovým specialistům, ti jej prošetří – a teprve poté se virus dostane do databáze. To chce čas.
• "Háčky" v licenční smlouvě: buď se jedná o "zábavní program", nebo platba jde za " technickou podporu ClamAV " [19] .
• Platba přes SMS . Legální antiviry preferují platební systémy a bankovní karty [19] .

Program

• Malá velikost instalačního programu nebo žádná fáze instalace [19] . Každý antivirus má velkou virovou základnu: Dr. Web CureIt zabere více než 200 megabajtů, podobná verze antiviru Kaspersky  - asi 150. Některé antiviry (například Avast ) mají miniaturní internetový instalátor, ale pak se všechny tyto megabajty stáhnou z internetu během instalace.
• Rozpoznané jinými antiviry [19] .
• Funguje na „čistém“ OS nainstalovaném od začátku [19] , detekuje viry, které nejsou pro tento OS typické (pro Linux je detekován virus, který se šíří ve Windows ).
• Okno UAC je žluté (nepodepsaný program) nebo modré, ale vlastník se mýlí (uniklý klíč). Psaní antiviru je složité a drahé a vývojáři antivirů si mohou dovolit certifikát pro software.
• Pokud jste jediným správcem počítače, program, který jste nenainstalovali. Menší utility související s výkonem a bezpečností, jako jsou čističe registrů, jsou však někdy distribuovány „navíc“ .
• I ta nejjednodušší funkčnost je placená, bez jakýchkoliv zkušebních období a bezplatných verzí [19] . Peníze jsou požadovány za další funkce: firewall, rezidentní monitor, online aktualizace atd. A žádný antivirus nevyžaduje peníze na odstranění hrozby.
• Obsedantní hlášky, že je počítač zranitelný nebo si musíte koupit program – a nejčastěji obojí zároveň [19] .
• Nejjednodušší funkce, které jsou vlastní každému seberespektujícímu rezidentnímu programu, mohou chybět: dočasně zastavte antivirus, odinstalujte program pomocí standardních nástrojů OS [19] . Jiné nastavení nemusí být vlastní skutečnému antiviru (proxy servery , seznamy výjimek) [19] .

Poznámky

1. ↑ Zpráva společnosti Symantec o softwaru Rogue Security Software . Symantec (28. října 2009). Získáno 15. dubna 2010. Archivováno z originálu 13. srpna 2012. (neurčitý)
2. ↑ 1 2 3 Microsoft Security Intelligence Report, svazek 6 (červenec – prosinec 2008) 92. Microsoft (8. dubna 2009). Získáno 2. května 2009. Archivováno z originálu 13. srpna 2012. (neurčitý)
3. ↑ FakeAV byznys žije a daří se mu | zabezpečený seznam . Získáno 31. července 2020. Archivováno z originálu dne 21. října 2020. (neurčitý)
4. ↑ Leyden, John Zango jde titsup: Konec trhu s adwarem pro stolní počítače . The Register (11. dubna 2009). Získáno 5. května 2009. Archivováno z originálu 13. srpna 2012. (neurčitý)
5. ↑ Výsledek opensource skenování háčku klávesnice , který byl viděn v keyloggeru .
6. ↑ 1 2 Doshi, Nishant (2009-01-19), Zavádějící aplikace – Ukaž mi peníze! , Symantec , < https://forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/53 > . Získáno 2. května 2009. (mrtvý odkaz)  
7. ↑ The Perfect Scam - Technology Review . Datum přístupu: 7. července 2011. Archivováno z originálu 29. ledna 2012. (neurčitý)
8. ↑ Novinky Chyba zabezpečení aplikací Adobe Reader a Acrobat . blogs.adobe.com. Získáno 25. listopadu 2010. Archivováno z originálu 13. srpna 2012. (neurčitý)
9. ↑ Chu, Kian & Hong, Choon (2009-09-30), Samoa Earthquake News Leads To Rogue AV , F-Secure , < http://www.f-secure.com/weblog/archives/00001779.html > . Získáno 16. ledna 2010. Archivováno 29. října 2014 na Wayback Machine 
10. ↑ Hines, Matthew (2009-10-08), Malware Distributors Mastering News SEO , eWeek , < http://securitywatch.eweek.com/seo/malware_distributors_mastering_news_seo.html > . Získáno 16. ledna 2010. Archivováno 21. prosince 2009 na Wayback Machine 
11. ↑ Raywood, Dan (2010-01-15), Rogue antivirus převládající na odkazech, které se týkají zemětřesení na Haiti, protože dárci jsou vybízeni, aby pečlivě hledali pravé stránky , SC Magazine , < http://www.scmagazineuk.com/rogue -antivirový-převládající-na-odkazech-které se týkají-zemětřesení-haiti-jako-dárci-vybízíme-pečlivě-hledat-pravé-stránky/článek/161431/ > . Získáno 16. ledna 2010. Archivováno 29. října 2014 na Wayback Machine 
12. ↑ Doshi, Nishant (2009-01-27), Zavádějící aplikace – Ukaž mi peníze! (Část 3) , Symantec , < https://forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/55 > . Získáno 2. května 2009. (mrtvý odkaz)  
13. ↑ Stewart, Joe (2008-10-22), Rogue Antivirus Dissected – Part 2 , SecureWorks , < http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus -část-2 > Archivováno 2. března 2009 na Wayback Machine 
14. ↑ Moheeb Abu Rajab a Luca Ballard. The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution  (anglicky)  : journal. – Google , 2010. – 13. dubna.
15. ↑ Google zakázal domény .CO.CC | http://info.nic.ru _ Datum přístupu: 7. října 2013. Archivováno z originálu 29. října 2014. (neurčitý)
16. ↑ „Bezplatná kontrola zabezpečení“ by mohla stát čas a peníze , Federal Trade Commission , 2008-12-10 , < http://www.ftc.gov/bcp/edu/pubs/consumer/alerts/alt121.shtm > . Získáno 2. května 2009. Archivováno 15. listopadu 2012 na Wayback Machine 
17. ↑ SAP na křižovatce poté, co prohrál verdikt ve výši 1,3 miliardy dolarů (odkaz není k dispozici) . Yahoo! Novinky (24. 11. 2010). Získáno 25. listopadu 2010. Archivováno z originálu 13. srpna 2012. (neurčitý) 
18. ↑ CanTalkTech - Fake Green AV se maskuje jako bezpečnostní software s příčinou (downlink) . Získáno 2. července 2011. Archivováno z originálu dne 8. července 2011. (neurčitý) 
19. ↑ 1 2 3 4 5 6 7 8 9 10 11 Kaspersky Lab o škodlivých antivirech . Datum přístupu: 4. května 2014. Archivováno z originálu 28. května 2015. (neurčitý)

Odkazy

• Howes, Eric L (2007-05-04), Spyware Warrior: Rogue/Suspect Anti-Spyware Products & Web Sites , < http://www.spywarewarrior.com/rogue_anti-spyware.htm > . Staženo 2. května 2009. 
• (cs) List_of_rogue_security_software , < https://en.wikipedia.org/wiki/List_of_rogue_security_software > 
• Kaspersky Lab: Rogue bezpečnostní software , < http://support.kaspersky.ru/viruses/rogue > . Staženo 24. dubna 2012.