Microsoft Security Essentials Alert. Un troian periculos
Cu ceva vreme în urmă, am vorbit despre programele antivirus false (eng. rogue antivirus), iar aceia dintre voi care au avut răbdare să parcurgă întreg materialul, îşi mai amintesc (poate) de un utilitar dedicat înlăturării acestor ameninţări specifice, intitulat sugestiv Remove Fake Antivirus. Dincolo de calităţile intrinseci ale softului (pe care dacă nu l-aş fi considerat capabil, nu-l recomandam) site-ul Free of Virus & Computer Tips oferă informaţii cuprinzătoare despre ultimele ameninţări informatice (împreună cu soluţiile pentru remediere), şi de acolo am aflat despre Microsoft Security Essentials Alert, un troian care încearcă să păcălească utilizatorul, convingându-l să instaleze un antivirus fals.
Ce mi-a atras atenţia, dincolo de caracterul perfid al acestui malware este modul în care autorii lui s-au gândit să profite de rezultatele excelente obţinute de MSE şi de faptul că Microsoft plănuieşte să lanseze în curând cea de-a doua versiune a acestei soluţii de securitate. Microsoft Security Essentials Alert nu are nici o legătură cu Microsoft Security Essentials 1.0 sau MSE 2.0 (aflat în stadiul beta), însă ideea că antivirusul Microsoft ajunge să fie plagiat şi folosit drept imagine pentru a răspândi programe maliţioase, stârneşte rumoare în rândul celor care de-a lungul timpului au făcut cunoştinţă cu MSAV (Microsoft Anti-Virus).
Un lucru asemănător s-a întâmplat cu Security Essentials 2010, însă amploarea evenimentului a fost mai mică, plus că de această dată autorii şi-au făcut timp pentru a reproduce întocmai caracteristicile vizuale ale soluţiei originale prezentate de Microsoft. Avem parte de aceeaşi pictogramă, o interfaţă asemănătoare şi care funcţionează pe aceleaşi principii, pe scurt, toate condiţiile pentru a înşela un ochi mai puţin versat.
Diferenţa (deloc de neglijat) este că în timp ce Microsoft Security Essentials reprezintă o soluţie de securitate mai mult decât decentă, oferită gratuit tuturor utilizatorilor de Windows achiziţionat legal, Microsoft Security Essentials Alert speculează întocmai lipsa antivirusului instalat pe sistem, pentru scoate câţiva bănuţi din buzunarele utilizatorilor.
Cum acţionează Microsoft Security Essentials Alert ?
Odată ce a reuşit să se infiltreze în sistem, Microsoft Security Essentials Alert anunţă descoperirea unei infecţii severe („Unknown Win32/Trojan”), îşi declină competenţa devirusării, dar îi oferă utilizatorului credul, alternativa scanării online. Iar dacă acesta acceptă, în locul verificării promise, va fi redirecţionat pe un site unde sunt prezente 35 de programe antivirus, dintre care numai puţin de 5 sunt rogue antivirus:
- Red Cross Antivirus;
- Peak Protection 2010;
- Pest Detector 4.1;
- Major Defense Kit;
- AntiSpySafeguard / AntiSpy Safeguard.
Iar pentru ca scenariul să fie complet, în timpul presupusei scanări online, doar programele antivirus false sunt prezentate ca fiind capabile că cureţe sistemul de acel troian necunoscut. Utilizatorul este practic împins să-şi instaleze un rogue. Nici nu mai contează care anume, câte vreme cele cinci acţionează în acelaşi mod, pozând doar sub denumiri diferite sau o altă interfaţă.
Cât de periculos este Microsoft Security Essentials Alert ?
Dacă ar fi fost vorba doar de o păcăleală şi Microsoft Security Essentials Alert sau cele cinci programe antivirus s-ar fi mulţumit să-i sperie utilizatori (pentru indolenţa demonstrată, sunt unii care ar merita să li se ridice pulsul) acest articol s-ar fi încheiat ceva mai repede, ori poate nici n-ar fi fost necesar. Din păcate, lucrurile nu sunt aşa de simple, fiindcă odată instalat antivirusul fals, după restartarea calculatorului şi efectuarea scanării, o serie de fişiere (precum iexplore.exe) „rămân” necurăţate. Tot antivirusul rogue vine şi cu soluţia: achiziţionarea versiunii complete, contra unei sume modice.
Sigur, în România sunt destule persoane care n-au încredere să recurgă la plata cu cardul pe magazine online recunoscute şi cu atât mai puţin pentru a cumpăra un antivirus, însă este de-a dreptul hilar, cum în ciuda tuturor articolelor prezente pe internet şi a demersurilor făcute, şmecheria antivirusului ce capătă puteri miraculoase asemeni marinarului Popey imediat ce s-a confirmat transferul bancar, să funcţioneze încă. Nu se poate ! În timp ce autorii de malware se îmbogăţesc, site-urile de securitate neafiliate se bazează pe voluntariat şi donaţii sporadice.
Din fericire, dacă nu aţi instalat vreunul dintre cele cinci programe antivirus false, Microsoft Security Essentials Alert poate fi şters destul de uşor (urmând instrucţiunile prezentate pe freeofvirus.blogspot.com), însă dacă aţi căzut în plasa răufăcătorilor şi deja aveţi pe calculator Red Cross Antivirus, Peak Protection 2010, Pest Detector 4.1, Major Defense Kit sau AntiSpySafeguard / AntiSpy Safeguard, doar bleepingcomputer.com oferă soluţia completă pentru devirusare, folosind un program deja menţionat în paginile blogului Stefa Media, şi anume Malwarebytes’ Anti-Malware (n-am uitat de recenzie, dar o lăsăm pentru un weekend).
În loc de încheiere…
N-am să reiau ce s-a spus pe Bleeping Computer (unde lucrurile sunt explicate extrem de clar), dar profit de ocazie pe acest final, pentru a lansa o întrebare citirilor obişnuiţi.
În condiţiile în care apar zilnic ameninţări informatice (reprezentate de viruşi, troieni, viermi de internet, rogue antivirus şi nu numai), iar site-urile specializate (printre care şi cele amintite astăzi) prezintă soluţii pentru curăţare, consideraţi oportună relatarea acestora întocmai (acolo unde pot să verific, că doar n-am să prezint poveşti) sau rămânem la stabilirea stabilirea unor criterii generale de securitate, ca şi până acum ?
Materiale bibliografice:
- http://freeofvirus.blogspot.com/2010/08/microsoft-security-essentials-alert.html
- http://www.bleepingcomputer.com/virus-removal/remove-fake-microsoft-security-essentials-alert
- http://news.softpedia.com/news/Microsoft-Security-Essentials-Alert-Is-Not-Microsoft-Security-Essentials-1-0-or-2-0-153318.shtml
Sunt de parere ca utilizatorul isi merita soarta. Ignoranta n-a fost si n-o sa fie o scuza. La fel si lipsa bunului simt.
Cat timp vor exista oameni care vor apasa pe bannere cu “ati castigat un milion de dolari!” si “scanare online gratuita”, orice efort de explicare a mecanismelor unui virus n-au nici un rost.
Salut @Filip
Ai dreptate, e şi multă ignoranţă din partea utilizatorilor care s-au trezit cu „ps-ul” (abreviere întâlnită pe bloguri) în braţe, însă cel puţin pentru o persoană obişnuită, diferenţa la prima vedere între Microsoft Security Essentials şi Microsoft Security Essentials Alert este insesizabilă. Eu mă bucur să observ că în ultima vreme, mai multe companii de securitate au început să deruleze programe de conştientizare a publicului, dar parcă e prea puţin… sau prea târziu. Nu ştiu care din cele două.
nu cred ca e necesara o prezentare detaliata a solutiilor de curatare a sistemelor infectate. un simplu link catre site-urile care ofera astfel de informatii ar trebui sa fie suficient.
iar pentru virusi, troieni, spyware si alte creatii spectaculoase exista mbam, drweb plus gasca de suite de securitate mai mult sau mai putin performante .
mi-e greu sa cred ca vizitatorii obisnuiti ai blogului au “beneficiat” de serviciile vreunui rogue
ps: chair mi s-a facut dor sa mai agat si io un troienel. am si uitat de cand n-am mai avut pc-ul infectat
.
Daca tot suntem in acest domeniu (Fake AV) azi am observat ca sunt si in limba romana http://img837.imageshack.us/img837/9771/securitytoolro.png
Salut Andrei,salut tuturor. Hm,cred ca Happyday zice bine: un simplu link ar trebui să fie suficient! Este bine pomenit,Dr Web sau Mbam,sunt suficiente și eficiente! Ai dreptate din nou,Happyday! In fond și la urma urmei,utilizatorul ar trebui să fie propriul sau “bodyguard’,asta deoarece nu îl pune nimeni să acceseze siteuri dubioase,sau cum spune Filip, să apese anumite bannere de-a dreptul hilare!! @Andrei: din cele doua, prea puțin sau prea târziu,cred ca a doua este cea reala…din păcate….STIMA.