Amaran Jangkitan Palsu Boleh Menjadi Masalah Sebenar

Michael Vana tahu apa yang ada ketika dia melihat pop timbul dari "Antivirus 2009" di tengah-tengah layarnya. Bekas teknisi avionik Northwest Airlines meneka bahawa amaran yang mengerikan mengenai jangkitan sistem adalah palsu, tetapi apabila dia mengklik pada X untuk menutup tetingkap, ia berkembang untuk mengisi skrinnya. Untuk menyingkirkannya, dia terpaksa menutup PCnya.

Bunyi akrab? Trik kotor seperti ini, yang direka untuk membolehkan anda memasang dan membeli produk antivirus palsu, lebih biasa daripada sebelumnya. (Untuk nasihat mengenai cara untuk meneruskan jika anda memasang antivirus palsu di PC anda, lihat "Antivirus 2009: Cara Buang Perisian AV Palsu.") Tetapi semasa anda mungkin mengenali amaran seperti palsu, anda mungkin tidak tahu bahawa palsu amaran boleh menjadi amaran merah mengenai jangkitan malware bot yang mendasari. Mengetahui perbezaannya adalah kunci.

"Ini bukan sesuatu yang anda sekelip lagi," kata Christopher Boyd, pengarah kanan penyelidikan malware untuk syarikat keselamatan komunikasi FaceTime Communications, meminta bantuan dalam menangani pop-up amaran ini.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows anda]

Insiden peningkatan pop timbul ini disebabkan oleh lebih banyak pemrogram yang berlaku selepas wang mudah dari program afiliasi rendang, yang membayar potongan besar keuntungan - sehingga 90 peratus - untuk setiap orang yang tersilap menahan wang untuk program palsu, tanpa mengira apa yang mereka bayar. Sering kali, dorongan itu datang dari laman web yang berniat jahat yang menggunakan helah JavaScript untuk melambungkan sejumlah pop timbul, atau mengubah saiz tetingkap penyemak imbas penonton, untuk membuat sesuatu yang kelihatan seperti imbasan antivirus sebenar.

sebuah laman web dengan menggunakan pautan carian buruk, seperti yang Boyd mengklik untuk permainan Batman dalam talian percuma. Dia telah dibawa ke tapak yang mengambil alih pelayarnya untuk memaparkan imbasan AV palsu, yang kemudiannya menemui (palsu) jangkitan kritikal yang boleh diperbaiki dengan membeli program antivirus jahat.

Jika tapak semata-mata merosakkan penyemak imbas anda, tidak perlu terlalu bimbang: Pop-up atau tingkap pengimbas palsu tidak menyebabkan kerosakan yang berkekalan, kata Boyd. Anda mungkin dihalang daripada menutup tetingkap, seperti Michael Vana, tetapi biasanya anda boleh membuka Windows Task Manager dengan Ctrl-Alt-Delete dan menutup penyemak imbas anda dengan cara itu. Kadang-kadang hanya memukul Alt-F4 akan menutupnya.

"Untuk melakukan ini, [tapak palsu] menggunakan kod sebenar, dan biasanya tidak mengeksploitasi lubang," kata Boyd. Selama ini anda tidak melakukan pan-ic dan memasang program yang ditekan, tidak ada kerusakan yang nyata.

Antivirus Palsu Berbasis Bot

Malangnya, cara lain yang Anda dapat mengatasi program antivirus palsu jauh lebih buruk.

Joe Stewart, pengarah penyelidikan malware dengan SecureWorks, sebuah syarikat perkhidmatan keselamatan untuk perniagaan, menjejaki malware bot untuk hidup. Penjenayah menggunakan komputer yang dijangkiti bot, kadang kala dikumpulkan ke rangkaian besar (dipanggil botnets) seratus ribu atau lebih sistem, untuk menghantar spam di seluruh dunia. Tetapi mereka juga menggunakan bot untuk memuat turun program antivirus jahat dan malware lain ke PC mangsa.

"Ini adalah cara yang terbukti untuk mengewangkan botnet," kata Stewart. "Sekiranya ada sesiapa yang mempunyai botnet yang sudah diketengahkan berpotensi melihat ini sebagai cara untuk membuat wang tambahan."

Menurut Stewart, Crooks membuat wang itu sama ada dengan mendapatkan seseorang untuk memuat turun versi percubaan yang sepatutnya dari AV- - memilih teknik jualan perisian yang sah - atau dengan memasang perisian itu di belakang layar dengan bot.

Setelah dipasang, penyangak biasanya menggunakan teknik yang sangat menggerunkan, seperti mengubah latar belakang desktop Windows untuk memberi amaran jangkitan sepatutnya dan memaparkan amaran lain yang berterusan, untuk mendorong anda untuk membeli versi penuh perisian.

Anda mungkin tidak tahu memuat turun penyangak AV sebagai tindak balas kepada penyemak imbas palsu pop-up. Tetapi apabila diarahkan untuk memuat turun oleh pengawal jahat, bot yang tersembunyi tidak akan memberi anda peluang untuk memakai akal yang baik.

Jika anda mengikuti langkah-langkah keselamatan asas, seperti menjaga perisian antivirus bona-fide terkini dan berhati-hati dengan lampiran dan muat turun e-mel, anda boleh mengurangkan kemungkinan mendapat jangkitan bot atau malware lain. Tetapi jika anda melihat pop timbul atau amaran palsu lain dari penyangak AV pada komputer anda, adalah idea yang baik untuk cuba menentukan sama ada dari laman atau perisian sebenar yang dipasang oleh bot (atau oleh orang lain yang menggunakan PC).

Kemungkinan Tidak Berakhir

Terdapat banyak variasi pada penipuan perisian palsu, dan taktik pedang berbeza-beza, sehingga tidak ada penunjuk universal yang ada. Tetapi perhatikan amaran yang berterusan selepas anda reboot PC anda, terutamanya jika anda melihatnya sebelum membuka penyemak imbas anda. Melihat ikon amaran yang tidak dikenali dalam dulang sistem anda adalah satu lagi tanda buruk, terutamanya jika anda tidak boleh klik kanan dan membuatnya hilang. Dan jika latar belakang desktop anda telah berubah, anda pasti dijangkiti dengan antivirus penyangak, kata Boyd.

Mengenai sumber sampah ini, inilah petunjuk. Satu jenis yang diperiksa oleh Stewart, yang kemudian disebut "Antivirus XP 2008," akan terlebih dahulu memeriksa konfigurasi sistem PC untuk melihat sama ada ia terletak di negara yang mempunyai banyak etnik Rusia. Ia juga akan memeriksa Internet Explorer pengguna untuk lawatan ke Google versi Rusia. Sekiranya terdapat sebarang bukti sedemikian, pemasang akan dengan serta-merta berhenti tanpa menimpa mangsa yang berpotensi. Menurut Stewart, itu "cukup menjamin bahawa pengguna berbahasa Rusia tidak akan pernah melihat Antivirus XP 2008 memasang." Tetapi pengguna Internet di luar bekas Blok Timur lebih berhati-hati.