近两年来,流氓安全软件(假冒安全软件)正迅速成为网络罪犯最有效的赚钱工具。成千上万用户由于缺乏对假冒安全软件的基本认识,导致自己成为骗局的牺牲品,每天被诈骗的资金数目都高达数十万美元。
这样的结果毫不奇怪,到2009年为止,第3季度成为流氓安全软件商业模式发展的新高峰,其提供的收入分享方案,不仅导致了网络犯罪率的上升,而且凭借金钱带来的魅力让网络犯罪的模式变得更加错综复杂。
我撰写该教程的目的就是告诉互联网用户什么是流氓安全软件,安装它会带来什么样的风险,它看起来象什么,它的流通渠道是什么,以及最重要的,在当前版本的流氓安全软件中99%是依靠社会化工程模式来进行传播的这种情况下,如何辨别、避免和发现它的真实情况。
什么是流氓安全软件?
通常来说,流氓安全软件就是我们说的rogueware,换句话说,就是假冒的安全软件,它看上去象是一个合法的应用软件,可以在最终用户访问受到破坏的网站(索尼游戏站的官方站点就受到了SQL注入攻击,让最终用户跳转到流氓安全软件的控制中),恶意广告(MSN挪威的Flash就受到了这样恶意广告的感染;在Cleveland.com上也弹出过假冒的Antivirus XP窗口;福克斯新闻网站上也出现过恶意广告;纽约时报网站上也出现过乌克兰“球迷俱乐部”内容的恶意广告),或者对搜索引擎进行恶意优化(流氓安全软件会将911的相关关键字进行劫持;在2009年进行搜索变成最危险的事情;网上最容易带来威胁的搜索关键词),试图欺骗最终用户以为他们的计算机户已经感染了恶意软件,而购买该应用程序将帮助他们摆脱危险。
一旦安装了某些版本的流氓安全软件,合法安全软件的加载将受到阻止,最终用户将无法获得最新的数字签名数据库并进行更新。此外,为了防止被清除,它将极力阻止系统工具和第三方应用程序的检测。
某些情况下,流氓安全软件会包含了勒索工具,它会将已感染用户机器上的文件进行加密,只有向它们交纳解密费用后,用户才能继续使用文件,这样的流氓安全软件通常包含了嵌入的客户端攻击工具。
到目前为止,出现的所有流氓安全软件都是针对微软Windows用户的。
流氓安全软件的特色——模式识别的骗局
对于流氓安全软件来说,它们通常采用标准发布模式的原因是可以进行欺骗性广告。这样的话,它就可以轻松地帮助你发现安全问题的存在,并作出购买的选择。
例如,大多数流氓安全软件网站都会通过使用“不可点击”的知名网站和绩效评估服务的图标来让其真实性显得更为有效,举例来说,个人电脑杂志编辑选择奖、微软认证合作伙伴、国际计算机安全协会实验室认证、西海岸实验室认证、SoftPedia认证、CNET编辑推荐认证,以及ZDNet评测——而真正的ZDNet评测对流氓安全软件的存在是一无所知的。
进行欺骗活动时,还有一种流行的社会化工程模式是虚构的比较模板,其基本内容是在图表中显示出流氓安全软件的效果比一流安全公司提供的软件还好。
由于最终用户决定购买的时间是处于冲动状态中,因此,不会对这些信息进行详细的复查,从附图中我们可以看出三种不同的流氓安全软件(病毒盾牌2009、Windows安全套件和恶意软件分析2009)采用的都是同一种比较模板,来显示它们比合法的安全软件更强大有效。
通过模拟的实时防病毒进度对话框让我们处于无所不在的恐惧中,也是社会化工程欺骗模式中常见的手段,实际上,这仅仅是一个简单的静态脚本而已,但导致的结果就类似苹果机用户展示Windows中我的文档文件夹窗口。
显示的扫描结果实际上属于静态虚构的,并且实际上并没有访问硬盘上的数据,所谓的“你被感染了!”;Windows已经被感染;警告:发现感染的恶意软件;发现恶意软件的威胁”,都仅仅是在散布恐惧的策略而已。
本文来源:zdnet 作者:佚名