伪杀毒软件只会让你掏钱,却清理不了你的电脑。诸如DriveCleaner、WinFixer、Antivirus XP和Antivirus 2009此类的伪杀毒软件产品通过网上广告大肆宣传,模拟Windows警告消息,提醒电脑受到了某种恶意软件的感染,建议你购买某一款反病毒产品来清除。一些提供骗人程序的商家把警告消息直接嵌入到Windows桌面上,从“系统托盘”小应用程序弹出消息,并且安装程序以造成貌似逼真的系统崩溃蓝屏,让你误以为势态很严重。
1、微软年度安全报告:伪杀毒软件居首
据国外媒体报道,根据最近微软公布的安全情报报告,伪杀毒软件和带有恶意攻击的第三方应用程序都在上升。
此次微软发布的安全情报报告(SIR),覆盖了全球2008年的后六个月的安全情况。微软公布调查结果的目的就是向用户提供准确的数据,使得他们了解最新的安全威胁和恶意攻击的发展趋势。
微软特别说明的是,伪杀毒软件——“Scareware”呈现大幅上升的趋势。具体来讲,伪杀毒软件就是恐吓用户购买可以清理系统的防病毒或防间谍软件,去感染用户的计算机。
据了解,攻击者往往会通过各种社会网站发布征求软件,用恐吓的手段去诱使用户购买“完整版”的杀毒软件,并声称会使得用户免受木马和恶意软件的干扰。而实际上,这个征求软件是一种恶意软件,会窃取用户的银行账户,窃取财务和其他重要信息,并与僵尸网络合作感染用户的计算机。
其中,Win32/FakeXPA和Win32/FakeSecSen是Scareware的两个胁从者,微软软件在150多万台计算机中发现这两种文件。
而另一种用于提供伪杀毒软件的Win32/Renos,则在440多万台独立计算机中被检测到。根据该报告,2008年下半年的Win32/Renos比2008年上半年上升66.6%。
2、伪杀毒软件背后的秘密
BBC近日撰文为我们揭示了国外众多假冒杀毒软件背后巨大的产业链和丰厚的利润的秘密。通过关键词优化,将网民吸引到一些山寨网页并提示其电脑已中毒,然后告知必须购买XX杀软才能杀毒。不知情者在根据提示购买来的杀软其实仅仅是一个没有任何能力的伪杀毒软件。而造假者每日平均非法所得近一万美元。
由反钓鱼工作组(the Anti-Phishing Working Group)本月发表的报告表明,互联网上现在至少有9287个类似的伪杀毒软件在传播,是去年一月的2.25倍。专注于计算机安全研究的Finjan表示,造假者通过搜索引擎关键词优化,将无知的网民吸引到一些山寨网页,并用仿冒的提示窗口,提示小白,其电脑已中毒,然后告知必须购买XX杀软才能杀毒。不知情者在根据提示购买来的杀软其实仅仅是一个没有任何能力的杀毒软件界面。
研究员Yuval Ben-Itzhak表示,犯罪分子分为两批,制作山寨网页的一批,做软件和卖软件的一批。山寨网页制作者往往会在自己的页面上弄满诸如“奥巴马”这样的关键词,或者复制黏贴一堆近期的热点,有甚者会用如“娜塔莎·理查森已死”这样的噱头来吸引鼠标。
热点就意味着流量,无数上了套子的访问者即将被重定向到伪杀毒软件的那边。
通过研究, Finjan公司获得进入某个仿冒网站后台系统,伪杀毒软件摊贩用这个来管理他们的搜索引擎优化系统。根据统计,在16天的时间里该山寨网站一共有180万个PV,大约有7~12%的人安装了这个伪杀毒软件,共计1.79%的访问者花了50美元买下了它。平均下来,日入1.08万美元。
Yuval Ben-Itzhak表示,调查表明很多人在看到自己不明白的弹出窗口时便认为自己的电脑已经中毒。
一位Google发言人对记者表示,谷歌将尽全力打击此类诈骗行为,绝不姑息。
3、如何防范伪杀毒软件
这种纯属恐吓性软件(scareware)的工具只是声称可扫描电脑找出恶意软件,其实检测出来的不是无辜、常用的注册表键值,就是根本不存在(或事先植入)的外来文件。更糟糕的是,许多这类程序禁用了Windows的关键组件,比如注册表编辑器或任务管理器;或者禁用了Windows的“显示属性”设置中的选项,你就无法终止程序或无法去掉警告消息。人们特别容易相信这种其实毫无成效的软件包,因为卖家收取的费用似乎很低(常常是每个版本40美元)。
正规的恶意软件清除工具(即独立机构的测试客观地证明具有良好效果的工具)应当能立马解决只会登广告的软件所无法清除的问题。试一下安全软件,看看它有没有效果。但真正有效的对策还是政府采取协调的行动,采取严厉的措施来惩罚这些不法分子。
安全专家建议:
1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;
2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;
3、使用杀毒软件时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态;
4、不要随意执行未知的程序文件;
5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用;