|
|
日趨嚴重的問題 — 流氓反病毒軟件
過 去兩年中,我們多次介紹過一些程序會冒充其他程序的案例。其中,最為聲名狼藉的當屬流氓反病毒解決方案——這種程序會顯示提示信息,即使用戶的計算機系統 是干淨的,也會聲稱用戶計算機已被病毒感染。這種程序不會掃瞄系統或清除病毒,他們的唯一目的是誤導用戶認為自身計算機處於風險之中,用戶迫於恐嚇,會購 買他們所謂的「反病毒」產品。這類程序通常被稱為「恐嚇軟件」,卡巴斯基實驗室將這種軟件歸類為欺詐工具軟件,統屬於風險軟件範疇。
網絡罪犯正在積極推廣這種惡意程序,使得此類惡意程序的傳播非常廣泛。卡巴斯基實驗室在2008年上半年檢測到大約3,000種流氓反病毒軟件,而到2009年,僅上半年就檢測到超過20,000種此類惡意軟件樣本。 常用的傳播伎倆首先,這些流氓反病毒軟件是如何感染用戶計算機的呢?這些惡意軟件的傳播方式同其他惡意軟件類似,例如,下載器木馬可以偷偷將這些程序下載到本地計算機,或者利用已感染網站的漏洞執行瀏覽即下載,將流氓反病毒軟件下載到受害計算機。 但是大多數情況下,都是用戶自己將這種惡意軟件下載到本地的。因為網絡罪犯會使用專門程序(欺騙程序)或廣告誘騙用戶進行下載。 欺騙程序也是一種欺詐軟件,他們會試圖說服用戶需要下載一種「性能卓越」的反病毒解決方案,有時候即使用戶選擇拒絕安裝此類流氓反病毒軟件,這種欺騙程序還是會將那些假冒的反病毒軟件安裝到受害者計算機上。 欺騙程序通常通過後門程序或利用網站的漏洞下載到受害者計算機上。一旦這種程序被安裝到計算機,會自動彈出警告窗口,提示用戶計算機系統發現多個錯誤,註冊表損壞或數據被竊。
上述截圖是一個偽造的警告信息,信息提示用戶計算機被間諜軟件所感染。並且會提示用戶下載一個所謂的「間諜軟件清除工具」。即使用戶選擇「否」,流氓反病毒軟件仍然會被下載到本地計算機。 網 絡罪犯還會利用互聯網廣告傳播流氓反病毒軟件。目前,很多網站都具有廣告條,向瀏覽用戶推薦性能神奇的可以解決各種惡意程序威脅的安全解決方案。甚至在一 些合法網站上,也能看到這些為「新型反病毒解決方案」做廣告的廣告條或Flash。有時候用戶在瀏覽網站時,會有瀏覽器窗口彈出,向用戶推薦下載免費的反 病毒軟件,下圖即為這種彈出式廣告例子:
通常,這種彈出窗口根本不會給用戶任何選擇權,因為其彈出的選項只有一個按鈕,「確定」或者「是」。即使按鈕標識為「否」或者「取消」,不管用戶選擇哪個按鈕,流氓反病毒軟件還是會被下載到計算機。 卡 巴斯基實驗室最近發現一種網絡罪犯使用的動態流氓反病毒軟件下載技術。示例如下:通過位於********.net/online-j49 /yornt.html的腳本生成一個重定向地址http://******.mainsfile.com.com /index.htmlRef='+encodeURIC組件(文件引用標識)。生成的地址取決於用戶訪問包含腳本網頁的方式(通過文件引用標識實 現),換句話說,就是取決於用戶先前瀏覽的網站。在本市例子中,重定向地址為:http://easyincomeprotection.cn /installer_90001.exe,這個地址放置有一種新型的流氓反病毒軟件—— FraudTool.Win32.AntivirusPlus.kv。 動態傳播方式允許網絡罪犯隱藏下載惡意軟件頁面的真實IP地址。從而使反病毒廠商很難獲取到這些文件進行分析,以便於檢測。這種傳播方式也普遍被用戶傳播其他蠕蟲或病毒。 例 如,Net-Worm.Win32.Kido.js(可以用來組建殭屍網絡)採用DDNS技術,同時也可以下載和安裝一種名為 FraudTool.Win32.SpywareProtect2009.s的流氓反病毒軟件。這表明背後操作和推廣這兩種惡意程序的可能是同一個或同一 批惡意軟件編寫者,他們可以利用那個第一個蠕蟲安裝第二種惡意軟件。 恐嚇用戶安裝惡意軟件現在,我們已經知道流氓反病毒軟件是如何感染系統的。那麼進入系統後,惡意軟件都有哪些行為呢? 首 先,第一步是進行系統掃瞄。掃瞄過程中,流氓反病毒軟件會顯示一些經過精心策劃的提示信息。例如,首先會提示發現Windows錯誤,然後提示發現系統被 惡意程序感染,接下來會向用戶推薦安裝一款反病毒軟件。有時候,為了使提示看起來更具說服力,在安裝流氓反病毒軟件時會另外安裝一個文件,然後通過所謂的 「掃瞄」,發現該文件「染毒」。 雖然流氓反病毒軟件會提示可以為用戶修正系統錯誤,清除感染,但這種服務卻不是免費的。當然,流氓反病毒軟件表現得越像真正的安全軟件,網絡罪犯從受害者那裡騙取到錢財的可能性也越大。 以 下是兩個流氓反病毒軟件的示例,分別為FraudTool.Win32.DoctorAntivirus 和 FraudTool.Win32.SmartAntivirus2009。如下面截圖所示,兩個軟件都「檢測」到這台運行Windows XP Professional Service Pack 2的計算機有一些其實並不存在的問題,然後提示想要清除感染,必須付費激活軟件。其中,DoctorAntivirus 檢測到40個後門程序、木馬以及間諜軟件,並且警告用戶這些威脅可能導致系統故障。而SmartAntivirus2009也檢測出大量問題,並同樣警告 用戶這些問題有安全隱患。
點 擊「清除」按鈕後,兩個軟件都會彈出窗口,要求用戶購買其假冒的反病毒軟件產品。如果用戶同意購買,就會出現幾種付款方式,包括PayPal、美國運通卡 支付等。付款後,用戶會收到一個註冊碼。上述兩種流氓反病毒軟件都採用了代碼驗證激活方式,並且都確保隨機輸入字符進行激活無效。這種技術可以使得軟件顯 得更為正規。但是,用戶購買後收到的驗證碼也很少管用,流氓反病毒軟件會提示輸入的驗證碼有誤,試圖讓用戶再次付款
DoctorAntiviru和SmartAntivirus2009的激活窗口幾乎完全相同。看上去應該是軟件開發者使用了相同的代碼生成程序,並且只對顯示文本和界面稍微進行了修改,其他都完全不變。 通常,這種所謂的免費反病毒軟件一旦宣稱檢測到(但不會清除)惡意程序,就會提示用戶激活完整版軟件(並會聲稱一旦付款購買,用戶可以享受高性能的安全保護以及技術支持)。
下圖是一種源自俄羅斯的名為Smart-Anti-Spyware的流氓反病毒軟件的激活窗口。要激活產品,用戶需要向一個號碼發送手機短信,這種詐騙手段在俄羅斯互聯網上很常見。
[Smart-Anti-Spyware——用戶的好夥伴!要清除惡意程序感染和優化系統,提高性能,您必須購買完整版。請發送手機短信內容+q007到1171,將接受到的激活碼輸入以下窗口。] 惡意軟件生產線如上所述,很多不同的流氓反病毒軟件的提示信息即使不完全一樣,至少都非常相似。所以很有可能這些軟件的編寫者在開發這些軟件時,使用的是同一個代碼生成程序。 流氓反病毒軟件經常使用同多態蠕蟲或病毒相類似的機制對抗反病毒解決方案,例如流氓反病毒軟件的主體被加密,隱藏其中的字符串和鏈接。為了確保程序正常運行,文件中的動態代碼可以在程序被載入前將惡意軟件主體進行解密。 FraudTool.Win32.MSAntivirus.cg 和FraudTool.Win32.MSAntispyware2009.a 是兩種典型的運用上述技術的流氓反病毒軟件。雖然這兩種惡意軟件來自不同的家族,但卻使用了相同的多態加密方式。下圖是這兩種軟件中包含的加密代碼片段, 而且這兩個文件的結構完全相同。
採 用現成的軟件開發方案說明網絡罪犯可以在很短的時間內製造大量相似的惡意程序,而且採用這種手段還可以使開發出的惡意軟件躲避反病毒解決方案的特徵檢測。 目前,已經形成了這種流氓反病毒軟件的生產線,此外,這些軟件自身也在進化,軟件本身越來越複雜,使得傳統的反病毒特徵檢測方式很難將他們識別。 另 外,使用基於行為分析的啟發式簽名掃瞄技術也很難檢測出這些流氓反病毒軟件。因為很難區分流氓反病毒軟件是否是從合法軟件開啟的獨立窗口。所此,如果流氓 反病毒軟件並不是採用非法打包程序進行打包,只能通過手動分析確定其是否是惡意軟件。因此,新型流氓反病毒軟件的檢測相當困難。 驚人的數據下圖是流氓反病毒軟件從2007年至今的增長曲線圖。
從上圖可以看到,流氓反病毒軟件的特徵數量從2008年上半年開始增長,雖然到08年年底時,增長速度有所緩和。但到2009年5月,又開始急劇增長。 造成近幾年流氓反病毒軟件數量大增的主要原因是因為這類軟件容易製造,傳播系統也非常有效,從而使網絡罪犯可以在短期內獲取到可觀的利潤。 目 前,卡巴斯基實驗室收集到的流氓反病毒軟件分別來自318個不同的家族。下表列出了排名前二十的最常見流氓反病毒軟件家族。從2007年開始,針對這些家 族惡意軟件的特徵也最多。排名前五的家族佔所有簽名數量的51.69%,他們都被個ileiweiFraudTool(詐騙工具軟件),其家族名稱還表明 這些流氓反病毒軟件所假冒的反病毒軟件名稱。
從上表可以看出,針對詐騙軟件的特徵數量呈上升趨勢,這主要是由於流氓反病毒軟件的數量在增多,而並不是由於整體檢測的程序數量變多導致的。 新型流氓反病毒軟件越來越常見,卡巴斯基實驗室每天都會檢測到10到20種新的欺騙或詐騙工具軟件。而在兩三年前,每兩天才會出現一種新型流氓反病毒軟件,可見其增長速度驚人。 保護措施流 氓反病毒軟件不會破壞受害用戶的計算機,但網絡罪犯可以使用這些程序從那些經驗不足的計算機用戶手中騙取錢財。這些軟件具有另人信服的界面、關於感染的提 示信息以及用戶購買「產品」提示,很容易說服用戶將自己的錢拱手送上。所以,用戶應該謹記一些安全守則,確保自己不會為假冒的反病毒軟件浪費錢財。 如果你在計算機上發現一個從未聽說過的反病毒軟件,可以檢查一下該軟件供應商是否有官方網站以及技術支持。如果沒有,可以肯定此軟件是流氓反病毒軟件。 正規合法的反病毒軟件絕對不會先掃瞄系統,然後立刻要求用戶付費激活軟件。所以用戶一定不要為這種產品付費。並且,用戶應安裝知名反病毒廠商開發的反病毒解決方案,通過正規軟件掃瞄和清除系統的威脅。 用 戶應當只點擊自己計算機上安裝的合法反病毒軟件的提示信息,對於在瀏覽網站時隨機彈出的關於感染的警告信息,可以不必理會。即使您使用的瀏覽器安全組件或 其他安全解決方案未能攔截彈出窗口,也不要點擊彈出來的窗口。如果您遵循以上安全守則,就能夠保證99%以上的幾率攔截流氓反病毒軟件感染您的系統。 結論不 幸的是,用於詐騙用戶錢財的惡意軟件越來越普遍。除了流氓反病毒軟件外,還有其他詐騙惡意軟件的數量也呈穩步上升趨勢。網絡罪犯正在積極開發此類惡意程 序,並且從各個方面如傳播規模和手段以及躲避反病毒檢測技術等多層次對惡意程序進行修改,增加傳播成功率。 很有可能此類惡意程序將來的發展趨勢會主要集中於躲避反病毒軟件檢測的技術。而且此類惡意程序數量可能還會繼續上升,相應地其受害者數量也會隨之增加。 網絡罪犯如此熱衷於傳播流氓反病毒軟件,說明該業務利潤相當可觀。網絡罪犯使用的恐嚇策略加大了詐騙的成功率。所以,我們再次強調用戶要安裝正規可靠的反病毒解決方案,因為這筆投資並不會白白浪費,用戶可以獲取到可靠的全方位安全保護。
2009年11月20日
|
|
All rights reserved. Industry-leading Antivirus Software