15/08-08   -   Pressemeddelelse

Falske sikkerhedsprogrammer er populære blandt it-kriminelle

Det er falske sikkerhedsprogrammer som i øjeblikket er den mest udbredte trussel hos private brugere og virksomheder. Det viser en dugfrisk statistik som stammer fra data udtrukket fra CSIS Sec-DNS løsning.

I øjeblikket er en sværm af forskelligt indpakkede falske sikkerhedsprogrammer i omløb. De anvender opfindsomme navne som hos brugeren kan vække tillid, samtidig med at de truer brugeren - med gule og røde lamper, som viser fiktiv virusinfektion. På den måde kan almindelige brugere risikere at poste penge i ubrugelige værktøjer som tilmed kan afinstallere legitime antivirus og sikkerhedsprogrammer, nedhente anden uønsket software og desuden indsamle oplysninger fra systemet og sende den til en central server.

69 nye distributionssider blacklistet på under en uge
De falske sikkerhedsprogrammer tegner sig ikke alene som den største plage netop nu, den tegner sig også for den type skadelig kode som vi hyppigst blacklister i CSIS Sec-DNS. Alene i denne uge har vi således blacklistet hele 69 forskellige domæner hvorfra disse værdiløse produkter distribueres.

Digitalt signerede programmer
En anden - og meget interessante tendens er, at disse falske sikkerhedsprodukter ofte signeres digitalt og dermed lettere kan installeres via bl.a. ActiveX. De mange certifikater, som bruges til at "signere" applikationen, er ofte "stjålet/rippet" fra legitime "applikationsudviklere" eller tegnet hos virksomheder som alene validerer at indholdet er uændret og at "signeringen" er sket, men ikke tager stilling til indholdet eller formålet med det "signerede" materiale. Et eksempel er "Globalsign" som bl.a. er kendte for at signere "AntivirusXP 2008".

Fra porno sider, reklamer til botnet installation
Disse programmer installeres ofte på hjemmesider med pornografisk eller tvivlsomt indhold. De lokker med popups, som brugeren skal klikke på, men forsøger også, i enkelte tilfælde, at udnytte sårbarheder og dårlige sikkerhedsindstillinger i Microsoft Internet Explorer, til at installere sig automatisk. Vi har endvidere set it-kriminelle via centrale Botnets, som f.eks. Asprox og Srizbi, tvangsfordre inficerede systemer med disse programmer mod en "pay per install" provision.

Spammails
Vi ser også disse falske antivirus og antispyware programmer blive spammet ud via e-mail. En metode er at lokke med at der er fundet skadelig kode på modtagerens PC, men en anden og også meget populære måde er at lokke med nyheder fra CNN, MSNBC og sammen med skadelig kode automatisk installere produkterne på ofrets PC.

Det er særligt vigtigt, at man som almindelig forbruger har en kritisk sans for de programmer man møder på Internettet. Også selvom programmer ser legitime ud. Det nytter ikke noget at lade sig skræmme til at installere sikkerhedsprogrammer.

Den uønskede software går under navne som "WinFixer", "Windows Antivirus XP 2008 eller 2009", "XP Antivirus 2008 eller 2009", "FiksdinPC" m.fl.

Relevant information

http://www.csis.dk