Fake Infection Warnings kann echt Ärger sein

Michael Vana wusste, dass etwas los war, als er das Pop-up von "Antivirus 2009" in der Mitte seines Bildschirms sah. Der ehemalige Avionik-Techniker von Northwest Airlines vermutete, dass die düstere Warnung vor einer Systeminfektion gefälscht war, aber als er auf das X klickte, um das Fenster zu schließen, wurde es erweitert, um seinen Bildschirm zu füllen. Um es loszuwerden, musste er seinen PC herunterfahren.

Kennen Sie das? Schmutzige Tricks wie diese, mit denen Sie gefälschte Antivirus-Produkte installieren und kaufen können, sind häufiger als je zuvor. (Wie Sie vorgehen müssen, wenn Sie ein gefälschtes Antivirenprogramm auf Ihrem PC installiert haben, finden Sie unter "Antivirus 2009: Entfernen gefälschter AV-Software".) Obwohl Sie solche Warnungen möglicherweise als falsch erkennen, wissen Sie möglicherweise nicht, dass es sich um Fälschungen handelt Warnung könnte eine rote Warnung über eine zugrundeliegende Bot-Malware-Infektion sein. Den Unterschied zu kennen, ist der Schlüssel.

"Es ist nicht das, was Sie überhaupt noch anzünden", sagt Christopher Boyd, leitender Direktor der Malware-Forschung für das Kommunikations-Sicherheitsunternehmen FaceTime Communications, um Hilfe bei der Behandlung dieser Warn-Pop-ups

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Die erhöhte Häufigkeit dieser Pop-ups ist darauf zurückzuführen, dass mehr Gauner nach leichtem Geld aus zwielichtigen Affiliate-Programmen greifen, die einen großen Teil der Gewinne abbezahlen-- bis zu 90 Prozent - für jede Person, die fälschlicherweise Geld für ein gefälschtes Programm aufgibt, unabhängig davon, was sie zu zahlen hat. Der Anreiz kommt häufig von einer bösartigen Website, die JavaScript-Tricks verwendet, um eine Reihe von Pop-ups zu erstellen oder sogar die Größe des Browserfensters des Betrachters zu ändern, um etwas zu erstellen, das wie ein echter Antivirus-Scan aussieht eine Seite mit einem schlechten Suchlink, wie der, den Boyd für ein kostenloses Online-Batman-Spiel angeklickt hat. Er wurde auf eine Seite weitergeleitet, die seinen Browser übernahm, um einen gefälschten AV-Scan anzuzeigen, der dann (fiktive) kritische Infektionen fand, die durch den Kauf des Rogue-Antivirus-Programms behoben werden konnten.

Wenn eine Website nur Ihren Browser entführt Ich muss mir keine Sorgen machen: Die Pop-ups oder falschen Scanner-Fenster verursachen keinen bleibenden Schaden, sagt Boyd. Sie könnten daran gehindert werden, das Fenster zu schließen, wie es Michael Vana war, aber Sie können den Windows Task-Manager normalerweise mit Strg-Alt-Entf aufrufen und Ihren Browser auf diese Weise schließen. Manchmal wird nur die Taste Alt-F4 gedrückt, um es zu schließen.

"Dazu verwendet [die falsche Seite] echten Code und nutzt normalerweise kein Loch aus", sagt Boyd. Solange Sie das Push-Programm nicht in Panik versetzen und installieren, tritt kein wirklicher Schaden auf.

Bot-Based Fake Antivirus

Leider ist die andere Art, wie Sie ein gefälschtes Antiviren-Programm entwirren, weitaus schlimmer.

Joe Stewart, Direktor für Malware-Forschung bei SecureWorks, einem Unternehmen für Sicherheitsdienste für Unternehmen, verfolgt Bot-Malware, um ihren Lebensunterhalt zu verdienen. Kriminelle nutzen Bot-infizierte Computer, die manchmal in riesigen Netzwerken (sogenannten Botnets) von hunderttausend oder mehr Systemen gesammelt werden, um Spam über den Globus zu senden. Aber sie benutzen auch Bots, um bösartige Antivirus-Programme und andere Malware auf den PC eines Opfers herunterzuladen.

"Es ist eine bewährte Möglichkeit, ein Botnet zu monetarisieren", sagt Stewart. "Fast jeder, der ein bereits eingesetztes Botnet hat, sieht das möglicherweise als eine Möglichkeit, zusätzliches Geld zu verdienen."

Laut Stewart machen Gauner das Geld, indem sie jemanden dazu bringen, eine angebliche Testversion des Rogue AV- herunterzuladen. -Eine legitime Software-Verkaufs-Technik - oder durch die Installation dieser Software hinter den Kulissen mit einem Bot.

Einmal installiert, verwendet der Rogue in der Regel stark erschwerende Techniken, wie zum Beispiel den Windows-Desktop-Hintergrund zu ändern, um vor einem zu warnen vermutete Infektion und Anzeige anderer Warnungen, um Sie dazu zu bringen, die Vollversion der Software zu kaufen.

Sie könnten Rogue AV als Reaktion auf ein gefälschtes Browser-Popup nicht herunterladen. Aber wenn ein versteckter Bot von einem böswilligen Controller aufgefordert wird, ihn herunterzuladen, wird er Ihnen nie die Möglichkeit geben, Ihren gesunden Menschenverstand anzuwenden.

Wenn Sie grundlegende Sicherheitsvorkehrungen befolgen, z. B. die Antivirensoftware auf dem neuesten Stand halten und vorsichtig mit E-Mail-Anhängen und -Downloads umgehen, können Sie die Wahrscheinlichkeit, sich mit einem Bot oder anderer Malware zu infizieren, erheblich verringern. Aber wenn Sie Popups oder andere gefälschte Warnungen von Rogue AV auf Ihrem Computer sehen, ist es eine gute Idee zu versuchen, festzustellen, ob es von einer Website oder von der tatsächlichen Software von einem Bot installiert wurde (oder von jemand anderem, der den PC benutzt).

Möglichkeiten endlos

Es gibt viele Variationen über den falschen Software-Betrug, und die Taktiken der Ganoven variieren, so dass es keinen universellen Indikator gibt, dass ein solcher vorhanden ist. Achten Sie jedoch auf Warnungen, die nach dem Neustart des PCs bestehen bleiben, insbesondere wenn Sie diese vor dem Öffnen Ihres Browsers sehen. Das Anzeigen eines unbekannten Warnsymbols in der Taskleiste ist ein weiteres schlechtes Zeichen, insbesondere, wenn Sie nicht mit der rechten Maustaste darauf klicken und das Symbol nicht mehr anzeigen können. Und wenn sich Ihr Desktophintergrund geändert hat, sind Sie definitiv mit dem Rogue Antivirus infiziert, sagt Boyd.

Was die Quelle dieses Mülls angeht, hier ist ein Hinweis. Eine Sorte, die Stewart untersucht hatte und dann "Antivirus XP 2008" genannt wurde, würde zuerst die Systemkonfiguration des PCs überprüfen, um zu sehen, ob sie sich in einem Land mit vielen ethnischen Russen befand. Außerdem wird der Internet Explorer des Benutzers auf Besuche der russischen Version von Google untersucht. Wenn solche Beweise gefunden werden, würde der Installateur sofort aufhören, ohne das potentielle Opfer zu treffen. Laut Stewart ist das "genug, um sicherzustellen, dass russischsprachige Benutzer niemals eine Antivirus XP 2008-Installation sehen werden." Aber Internetnutzer außerhalb des ehemaligen Ostblocks sollten besser aufpassen.