freestone-carryout
freestone-carryout
freestone-carryout
freestone-carryout

Hur fungerar online-bedrägeri?

Ett av de vanligaste bedrägerierna just nu är ett falskt program som påstår sig ta bort olika typer av skadlig kod från din dator.

Ett av sätten som det falska anti-malware programmet XP Antivirus sprider sig är falska kommentarer i diskussionsfora på Internet. Det görs på samma sätt som en del skurkar lägger in länkar till sina egna sidor eller andras mot betalning i kommentarerna på bloggar. I XP Antivirus fall går länken till en falsk Google-sida.

Den som besöker länken ser först en "progress bar" som utger sig för att vara ett snällt program som ska kolla din dator mot skadlig kod. Sen ser användaren en välgjord fejk-varning där bakgrunden mörkas precis som i vanliga Windows och varningsrutan presenterar sig som XP Antivirus. Den talar om att det finns skadlig kod och ser riktigt trovärdig ut, för den som inte vet att XP Antivirus inte existeras.

Sen följer olika varningsrutor och små dialogrutor som dyker upp från nedre högra hörnet. Alla ser trovärdiga ut och har små rutor att klicka i. Ett varningstecken är dock att oavsett vad du trycker på kommer du tillbaka till en eller annan sida för att installera programmet eller betala för köpes-varianten. Ett annat varningstecken är att inget seriöst antivisrusföretag skulle trycka ut ett program till en dator utan att först berätta för användaren vad programmet gör och sen fråga om användaren vill ha det.

Filen som laddas ner är i själva verket Trojan-Downloader.Win32.FraudLoad.gen. Enligt Jesper M Johansson finns det förmodligen flera hundra varianter på en server, eller så körs den genom någon form av omvandlare för att försvåra för signaturbaserade skydd att upptäcka den.

Fake-programmet har en lång licenstext (som också ger ledtrådar om att det är fejk - men ytterst få människor läser licenstexter), egen hjälpsida, information om hur buggar kan rapporteras, priser för den fulla versionen anges tydligt och det finns försäkringar om att kreditkorts nummer och andra personuppgifter är skyddade eftersom kommunikationen är krypterad. Skurkarna säljer även support avtal och ett tilläggsprogram kallat FileShredder 2008.

Bedragarna har också skapat en egen version av Windows Security Center som är väldigt likt det legitima Security Center. Båda syns under Mina Program i Start-menyn. Den riktiga heter bara Security Center och dess hjälp-knappar leder till riktiga hjälpsidor. Fake-programmet heter Windows Security Center och dess hjälp-länkar leder till dess egna säljsidor.

Två andra tecken på den elaka koden är att det dyker upp varningsrutor om datorn lämnas i vila ett par minuter. Och texten i de varningsrutor som dyker upp från system-raden i nedre högra hörnet är skriven på dålig engelska. I övrigt är programmets dialogrutor välgjorda både vad gäller språk och form, enligt vad Jesper M Johansson skriver på The Register.

Hans analys visar inte på att programmet försöker installera någon annan form av skadlig kod, fjärrstyra datorn eller stjäla data. Men han skriver att det kan bero på att programmet känner att det befinner sig i en virtuell maskin och då håller tillbaka en del av sina fula trick för att inte underlätta analys.


2 kommentarer

Christian sa...

Hej, Jag heter Christian, SKulle gärna vilja komma i kontakt med dig men hittar ingen emailadress. Du får gärna slänga iväg ett mail till mig på rudolf@mjukvara.se

Såg också att bland dina google annonser görs det reklam för antivirus XP. Du kan kunna stänga av den annonsen i ditt adsense!

Kvastskatan sa...

Mjodå. Här klipps & klistras i bästa Sigward Marjasinanda! Men jag vill ju kunna kika på vad jag skrev för etiketter till inläggen oxå. Då krävs ju att jag loggar in å ställer mej i redigeringsläget.. å det vet vi ju båda hur snabbt DET går inne på Passagen. Så det tar visst sin lilla tid ändå..

Tur jag inte har bråttom. Ska ju ha nåt att göra till vintern oxå.. ;o)