Rogue antivirus (programe antivirus false). Detecţie şi înlăturare

Spre deosebire de alte ameninţări informatice (precum viermii de internet, programele de tip spion, rootkits, ş.a.m.d.) cărora le-am dedicat materiale cuprinzătoare, n-am vorbit decât sporadic despre antiviruşii falşi (eng. rogue antivirus), însă această stare de lucruri este pe cale să se schimbe. Şi voi începe prin a elimina o confuzie.

Orice soft care păcăleşte utilizatorul, făcând-ul să creadă că în schimbul achiziţionării unei licenţe (fapt ce presupune o plată) va beneficia de avantaje care nu vor materializa vreodată, poartă denumirea de „rogue software” şi se înscrie în categoria programelor maliţioase (eng. malware).

Cea mai răspândită categorie de softuri rogue sunt programele antivirus false, cele care prin imitarea comportamentului unor antiviruşi reali extorchează utilizatorii sau, încă şi mai rău, instalează pe calculatorul gazdă un alt malware (troian, rootkit) ce compromite integritatea sistemului. Există şi o categorie distinctă de softuri rogue, mai puţin periculoasă dar la fel de supărătoare, aşa numitele „scareware”/ excrocherii mărunte.

În ultimii ani (mai exact de prin 2008), softurile de tip rogue şi în special antiviruşii falşi s-au dovedit a fi o ameninţare redutabilă, răspândirea lor fiind favorizată de ignoranţa utilizatorilor. Îmi pare rău s-o spun, însă comportamentul haotic, lipsa celor mai elementare măsuri de precauţie şi nu în ultimul, rând infatuarea de care dau dovadă unii dintre internauţi, n-au făcut decât să îngraşe conturile reţelelor infracţionale.

Un studiu desfăşurat de Google în intervalul ianuarie 2009-februarie 2010, cifra programele antivirus false la aproximativ 15% din totalul de malware disponibil, în creştere de cinci ori faţă de momentul începerii analizelor. Vremurile în care utilizatorilor de Microsoft Messenger le era oferit câte un rogue / zi (asta profitând şi de o vulnerabilitate de la acea dată a programului de mesagerie), par de-a dreptul idilice în comparaţie cu situaţia actuală, când inventivitatea autorilor acestui gen de programe merge până la oferirea de „suport tehnic prin telefon” şi te întrebi dacă nu cumva sunt mai organizaţi decât cei care ar trebuie să stopeze fenomenul.

Antiviruşii falşi mimează programe antivirus reale (prin design, denumire), iar modul agresiv de acţiune îi poate convinge relativ uşor pe aceia mai slabi de înger de iminenţa pericolului. Şi nu sunt departe de adevăr. O ameninţare există, dar nu cea prezentată pe ecran, majoritarelor programelor rogue antivirus încercând (şi reuşind) să plaseze pe calculatorul gazdă un troian, cel mai probabil sub forma unei extensii pentru browser-ul web, ca imagine, screensaver sau fişier ataşat mesajului „de întâmpinare”, imitând un codec, un serviciu de scanare online sau o aplicaţie cunoscută.

Cum ajungeţi să instalaţi un antivirus fals (rogue antivirus) ?

I-aş împărţi pe cei care instalează antiviruşi falşi în două mari categorii.

Primii (utilizatorii mai puţin sau deloc interesaţi de securitatea personală) folosesc sisteme neactualizate, fără antivirus legal (se prea poate ca un vecin să le fi instalat ceva, însă respectivul soft e perimat ori nu se mai actualizează) şi se este posibil ca un troian (de exemplu, Virtumonde) să-şi facă loc în calculatorul respectiv, fără ştirea sau acordul proprietarului.

A doua categorie o reprezintă utilizatorii „specialişti în toate cele”, cei care nu se sfiesc să instaleze orice soft (freeware, adware, spyware, scareware, shareware) şi de oriunde, fiind convinşi (şi răspândind această credinţă mai departe precum veritabili apostoli) că cel mai rău lucru care li se poate întâmpla este o formatare, urmată de reinstalarea sistemului de operare.

Cum acţionează un antivirus fals ?

Odată ajuns în sistem, antivirusul fals începe să producă un număr impresionant de alerte (blocând activitatea utilizatorului), dar oferind totodată şi o soluţie: achiziţionarea unei licenţe, pentru modica sumă de 30-50 de dolari. Cei care plătesc (şi conform statisticilor ar fi vorba de o persoană din şapte), transmit răufăcătorilor informaţii confidenţiale (datele cardului de credit, numele complet, adresă, ş.a.m.d.) ceea ce face ca paguba să fie mult mai mare decât câţiva dolari (sau euro).

Prietenii de la Symantec au dedicat unul dintre episoadele serialului „Guide to Scary Internet Stuff”, acestor aplicaţii înşelătoare (software fals) şi, înainte de trece cea de-a doua parte a articolului, vă invit să luăm o scurtă pauză, urmărind acest filmuleţ:

Symantec Guide to Scary Internet Stuff – No 5 Misleading Applications

Cum detectăm / înlăturăm antivirusul fals ?

NU există o metodă universală pentru dezinfecţie. Ne pretindem a fi oameni serioşi şi n-am să includ formatarea în rândul alternativelor viabile.

Primul pas este conştientizarea tipului de ameninţare, fiindcă înlăturarea antivirusului fals (rogue antivirus) este o condiţie necesară, dar nu şi suficientă pentru curăţarea sistemului. Cel mai probabil aveam de-a face cu un troian sau un rootkit, mai perfid şi infinit mai dificil de înlăturat.

Cititorilor mei obişnuiţi le-am recomandat să folosească un mediu preinstalat WinPE, BartPE, chiar Dr.Web LiveCD, aceasta fiind de departe cea mai sigură cale de a aborda un sistem de infectat, la „concurenţă” cu mutarea HDD-ului într-un calculator nou. Teoria, ca teoria… dar practica e problema. Nu toţi suntem specialişti în IT, iar uneori trebuie să ne descurcăm cu ce avem la îndemână.

Asta ne aduce la primul soft, utilitarul Remove Fake Antivurs, specializat în înlăturarea antiviruşilor falşi. E gratuit, uşor de utilizat, iar ultima versiune înlătură cu succes numai puţin de 62 de programe antivirus false (rogue antivirus), printre care Alpha Antivirus, Green AV, Windows Protection Suite, Total Security 2009, Windows System Suite, Personal Antivirus, Anti-Virus-1, Spyware Guard 2008, System Guard 2009, Vista Guardian 2010, Antivirus 2009, System Security, Antivirus 2010, Antivirus 360, MS Antispyware 2009, Malware Doctor, AntivirusBEST, System Security 2009, Antivirus System Pro sau WinPC Defender.

Remove Fake Antivirus

URL: http://freeofvirus.blogspot.com/

Descărcaţi executabilul Remove Fake Antivirus.exe (doar 231 Kb), îl lansaţi în execuţie şi urmaţi instrucţiunile de pe ecran.

Atenţie ! Este de preferat ca operaţiunea de scanare să se facă în Safe Mode, în caz contrar, unele procese fiind dificil de întrerupt.

Al doilea soft este Malwarebytes’ Anti-Malware, un program descoperit aproape întâmplător însă a cărui eficienţă în combaterea antiviruşilor falşi nu poate fi negată. Malwarebytes’ Anti-Malware, este gratuit, însă utilizatorii care decid să plătească o licenţă comercială, vor beneficia în plus şi de protecţie în timp real.

Malwarebytes’ Anti-Malware

URL: http://www.malwarebytes.org/

Performanţele MBAM nu sunt deloc întâmplătoare, Malwarebytes Corporation dezvoltând un soft dedicat (Rogue Remover), ale cărui caracteristici au fost incluse ulterior în Malwarebytes’ Anti-Malware.

Atenţie ! Şi de această dată v-aş sfătui să rulaţi Malwarebytes’ Anti-Malware din Safe Mode, cu toate că opţiunea FileASSASSIN deblochează cu relativ uşor fişierele „încuiate”.

Cum vă puteţi proteja împotriva antiviruşilor falşi ?

1. Folosiţi un sistem de operare original, asta pentru a avea garanţia că nu munciţi în zadar.
2. Instalaţi un firewall performant. Aveţi grijă ca acesta să fie pornit.
3. Instalaţi un antivirus cu protecţie activă, dublaţi-l cu un antispyware şi aveţi încredere în soluţiile folosite.
4. NU folosiţi software ilegal sau provenit din surse îndoielnice.
5. Instalaţi ultimele actualizări de securitate, atât pentru sistemul de operare, dar şi pentru aplicaţiile individuale. Secunia Personal Software Inspector vă poate fi de ajutor.
6. Mare atenţie la ofertele primite pe e-mail, la concursurile sau promoţiile desfăşurate de site-uri web a căror autenticitate nu poate fi verificată.
7. Folosiţi un cont de utilizator cu puteri restrânse.
8. Încercaţi să vă familiarizaţi cu ameninţările informatice. Un utilizator informat este mult greu de păcălit.

Materiale bibliografice:

• http://en.wikipedia.org/wiki/Scareware
• http://en.wikipedia.org/wiki/Rogue_software
• http://ezinearticles.com/?What-is-Rogue-Anti-Virus-and-How-to-Remove-It&id=1270344
• https://www.microsoft.com/security/antivirus/rogue.aspx
• http://news.cnet.com/8301-27080_3-20003340-245.html
• http://securityweek.com/fake-av-fake-support

Despre autor şi articol

Bogdan-Andrei a scris 281 articole pe blogul Stefa Media.

Student la Comunicare şi Relaţii Publice, cunoscător al jocurilor din perioada anilor '80 sau '90, interesat de IT şi WordPress, scriu despre ce-mi place şi, de cele mai multe ori, îmi place ceea ce scriu. Şi nu doar mie. De aceea continui.

• Site web
• Twitter
• Facebook

Categorii: Ameninţări informatice, Materiale teoretice, Soluţii de securitate Etichete: Ameninţări informatice, antivirus, malware, Malwarebytes' Anti-Malware, programe antivirus false, Remove Fake Antivirus, rogue antivirus, rogue software, scareware, troian, video