Beste redactie,
Hoewel nep-antivirusscanners niet bepaald een nieuw verschijnsel zijn,
zorgen zij nog altijd voor veel problemen. In het gunstigste geval geeft een
slachtoffer geld uit aan een product dat niets doet. In een ander scenario
is er niet alleen sprake van een stukje software dat niets doet, maar wordt
ook daadwerkelijke malware op het systeem geïnstalleerd. Van deze soort zijn
er de laatste tijd nogal wat aangetroffen door de experts van G Data's
SecurityLab. Bij analyse ervan bleken er meer overeenkomsten tussen de
verschillende programma's dan gedacht. In het onderstaande persbericht een
uitgebreide beschrijving van de analyse. Via G Data's website kunnen
screenshots worden bekeken en gedownload:
www.bit.ly/tx4mzO. Voor meer
technische gegevens kunt u ook terecht op het G Data Securityblog
bit.ly/rzjLot.
Met vriendelijke groet,
Daniëlle van Leeuwen
PR Manager G Data Benelux
Nep-antivirusscanners nog steeds een probleem
Security-experts van G Data ontdekken overeenkomsten tussen meeste varianten
Badhoevedorp, 12 december 2011 – De afgelopen maanden hebben een neergaande
lijn laten zien in infecties met nep-antivirusscanners, dankzij juridische
maatregelen van verschillende overheden. Daarnaast hebben de grootste
zoekmachines ervoor gezorgd dat fraude met de zoekresultaten (‘blackhat SEO
poisoning) veel moeilijker is geworden. Desondanks heeft G Data’s
SecurityLab onlangs een aantal nieuwe nep-antivirusscanners ontdekt die vele
slachtoffers hebben gemaakt. Deze scanners zijn op zich niet erg nieuw en
revolutionair, maar wanneer zij met elkaar worden geanalyseerd, zijn er toch
wat interessante conclusies te trekken.
De laatste drie weken zijn er verschillende nep-antivirusscanners die
volgens dezelfde werkwijze werken. Er zijn speciale websites gemaakt, die
zich voordoen als legitieme site voor een antivirusscanner. G Data
analyseerde meerdere van deze sites en ontdekte dat de code ervan veel
overeenkomsten vertoont. De meeste van deze sites simuleren de Microsoft
Windows Explorer lay-out en tonen een nep-virusscan, waarna de bezoeker
wordt aangeraden om de aangeboden (valse) antivirussoftware te installeren.
De scanners die door het SecurityLab werden geanalyseerd waren gebaseerd op
de lay-out van Windows XP en Windows 7. De procedure na het openen van de
scannerwebsite is verder gelijk. Internetgebruikers komen op deze sites
terecht door bijvoorbeeld een geïnfecteerde legitieme site te bezoeken, die
de bezoeker automatisch naar de gewraakte site doorstuurt. Ook kan een
legitieme link op een site worden gemanipuleerd.
Na het bezoeken van een verkeerde site worden de volgende stappen doorlopen:
Stap 1: Nep-waarschuwing
Wanneer een internetgebruiker een geïnfecteerde website bezoekt, wordt een
JavaScript-waarschuwing getoond. De syntaxis en lay-out hiervan verschilt
per browser.
Stap 2: Nep-scan van het systeem
Dit is de meest uitvoerige stap. Nadat de bezoeker de ‘OK’-knop heeft
aangeklikt bij de eerste waarschuwing, wordt zogenaamd een scan van het
systeem gestart. De scans zijn eenvoudige JavaScript code. De gescande
bestanden, bestandextensies en ook de gevonden bedreigingen worden
willekeurig gegenereerd door het script met een vaste set van waarden.
De bestudeerde code geeft de indruk dat al deze websites door één persoon,
of een klein groepje mensen is geschreven, omdat veel van de codefragmenten
nagenoeg identiek zijn. Ook de zogenaamde Cascading Style Sheets die zijn
gebruikt om de Windows Explorer-look te benaderen zijn bij de verschillende
sites gelijk. Veel van de CSS-items hebben ook dezelfde naam.
Stap 3: Nep-resultaten en nep-software
Na de zogenaamde virusscan, worden de zogenaamde resultaten getoond in een
scherm, en wordt de ‘oplossing’ gegeven. Bij verdere analyse van de code,
komt een evolutie in het ontwerp ervan aan het licht. Waar de scanresultaten
van de Windows XP-versies alleen een afbeelding toonden, worden de
resultaten van de Windows 7-versies dynamisch gegenereerd met behulp van
JavaScript en is er een bepaalde mate van interactie mogelijk. Zo kan het
slachtoffer door de resultaten heen scrollen.
Stap 4: Poging tot infectie
Na de scan, wordt een programma ter download aangeboden. De website is
geconfigureerd op een manier dat het bijna onmogelijk is voor de gebruiker
om te weigeren, omdat de ‘Vorige’-knop van de browser wordt uitgeschakeld
met behulp van JavaScript. Wanneer het slachtoffer probeert het venster te
sluiten, verschijnt de melding opnieuw.
Er heeft op dit moment echter nog geen daadwerkelijke infectie
plaatsgevonden. Dat gebeurt pas wanneer het programma daadwerkelijk wordt
gedownload.
Hoe kan de download worden voorkomen?
Hoewel het niet mogelijk is om de browser op de normale manier te sluiten
tijdens dit punt in het proces, kan JavaScript geen acties buiten de browser
onderdrukken. Dat betekent dat het wel mogelijk is om de browser met behulp
van de Windows Taakbeheer te sluiten. De Windows Taakbeheer kan worden
geopend met CTR-ALT-DEL. Selecteer dan ‘Taakbeheer starten’. Klik vervolgens
in de lijst de actieve browser (bijvoorbeeld Firefox, Internet Explorer of
Chrome) aan en klik op ‘Beëindig taak’.
Tips om nep-antivirusscanners te ontlopen
• Gebruik een degelijke, betrouwbare antivirusoplossing met up-to-date
virushandtekeningen,
http-filter, etc. om de pc en alle digitale gegevens te
beschermen.
• Download alleen software van de officiële website van de fabrikant
van die software, of van een website met een goede reputatie.
• Controleer tijdens het downloaden van software goed het
dialoogvenster. Is dit echt de juiste software?
• Zorg ervoor dat de browser en het besturingssysteem van de computer
altijd volledig up-to-date zijn.
• Klik niet zomaar op hyperlinks, maar controleer eerst goed naar
welke site de link leidt.
• Controleer de spelling, grammatica en typografie van pop-ups.
Foutjes en een afwijkend lettertype zijn sterke aanwijzingen voor fraude.
• Waarschuwingen en pop-ups zijn altijd gesteld in de taal van het
besturingssysteem. Wie met een Nederlandse Windows-versie werkt, krijgt
alleen Nederlandstalige pop-ups van Windows.
Over G Data
G Data Software AG is een security-specialist van Duitse origine. G Data
ontwikkelde haar eerste antivirus-programma al in 1987 en was daarmee een
pionier in Europa. Kwaliteit is een prioriteit voor de onderneming. Als
resultaat hiervan heeft G Data in de afgelopen vijf jaar meer
testoverwinningen in Europa behaald dan welke andere aanbieder ook.
G Data is opgericht in 1985. De onderneming biedt oplossingen voor
consumenten en voor kleine, middelgrote en grote ondernemingen, die
wereldwijd in meer dan 90 landen beschikbaar zijn. Het hoofdkantoor is
gevestigd in Bochum (Duitsland). Meer informatie is te vinden op
www.gdata.nl.
Contact
Daniëlle van Leeuwen
PR Manager G Data Benelux
Tel. (+31) (0)20 808 0835
Mob. (+31) (0)6 54 660 215
E-mail:
danielle.van.leeuwen@gdata.nl
Twitter: GDataBenelux
Facebook: G Data Benelux
Persinformatie:
www.gdata.nl/over-g-data/perscentrum.html