Hullu virustorjunta

Pseudovirus (tai pseudo -antivirus ) on tietokoneohjelma, joka jäljittelee haittaohjelmien poistamista tai saastuttaa ensin ja sitten poistaa [1] . 2000-luvun loppuun mennessä viruksentorjuntaohjelmien merkitys henkilökohtaisten tietokoneiden uhkana kasvoi [2] , kun se väheni kesäkuussa 2011 [3] . Ensinnäkin huijareiden virustorjuntaohjelmien ilmaantuminen johtuu siitä, että Yhdysvalloissa ne ovat osittain ottaneet vakoilu- ja mainosohjelmistoteollisuuden hallintaansa [4] , ja UAC- ja virustorjuntaohjelmat jättävät yhä vähemmän mahdollisuuksia ohjelmistojen tunkeutumiseen käyttäjän tietämättä. . Toiseksi täysimittaisia ​​virustorjuntaohjelmia on niin paljon , että on vaikea muistaa niitä kaikkia. Joten 17. tammikuuta 2021 mennessä VirusTotalilla on 70 virustorjuntaa [5] .

Kuvaus ja toimintatapa

Rogue-viruksentorjuntaohjelmat kuuluvat troijalaisten luokkaan [6] , eli käyttäjä itse suorittaa ne käyttöjärjestelmän suojausjärjestelmien ja virustorjuntajärjestelmien kautta. Toisin kuin " Nigerian kirjaimet " (joissa käytetään ahneutta ja myötätuntoa ), tietojenkalastelu ja vääriä lottovoittoja, vilpilliset virustentorjuntaohjelmat pelaavat järjestelmän tartuttamisen pelolla [7] . Useimmiten ne löydetään verkkoselaimen ponnahdusikkunoiden varjolla , ja niiden väitetään skannaavan käyttäjän käyttöjärjestelmää ja havaitsevan siitä välittömästi virukset ja muut haittaohjelmat [2] . Parhaan luotettavuuden saavuttamiseksi tähän prosessiin voidaan liittää myös yhden tai useamman tämäntyyppisen ohjelman tuominen järjestelmään ohittamalla kokoonpano [6] , varsinkin jos tietokoneessa on minimaalinen ja helposti ohitettava suojaus. Tämän seurauksena uhrin tietokone alkaa lähettää viestejä työn jatkamisen mahdottomuudesta tartunnan vuoksi, ja väärennetty virustorjunta tarjoaa jatkuvasti ostaa palvelun tai poistaa sen eston syöttämällä luottokorttitiedot [8] .

Aivan ensimmäiset roistoviruksentorjuntaohjelmat syntyivät Internetin kehittyessä ja olivat vain käyttöjärjestelmää jäljitteleviä ikkunoita (useimmiten Windows Explorer ja Windows XP -käyttöliittymän työpöytä ), jotka sisälsivät ääniä ladattaessa ja painikkeita painettaessa. Tällaiset ikkunat poistivat helposti mainosten esto-ohjelmat, kuten Adblock Plus . 2000-luvun jälkipuoliskolla väärennetyt virustorjuntaohjelmat muuttuivat täysimittaisiksi ohjelmiksi ja alkoivat matkia oikeita virustorjuntaohjelmia käyttämällä aggressiivista mainontaa , vääriä käyttäjäarvosteluja tai jopa "myrkytyksiä" hakutuloksia syötettäessä avainsanoja (mukaan lukien aiheet, jotka eivät liity tietoturvaan) [9] [10] [11] . Tällaiset ohjelmat suunniteltiin nimillä, jotka muistuttavat oikeiden virustorjuntaohjelmien nimiä (esimerkiksi Security Essentials 2010 " Microsoft Security Essentialsin " sijaan tai AntiVirus XP 2008 " Norton AntiVirus " sijaan), ja ne toimivat periaatteella lähettää rahaa suoraan jakelijoille - kumppaniverkostot jokaiselle onnistuneelle asennukselle [12] .

Tilastot

Vuoden 2008 lopulla havaittiin, että Antivirus XP 2008 :aa jakanut tytäryhtiöverkko sai työstään noin 150 000 dollaria [13] . Vuonna 2010 Google tuli siihen tulokseen, että puolet mainosten kautta tunkeutuvista haittaohjelmista on vilpillisiä virustorjuntaohjelmia [14] . Vuonna 2011 sama Google poisti hausta verkkotunnuksen co.cc, halvan hosting -palvelun [15] , joka isännöi muun muassa pseudovirusten jakelijoita.

Jakelijaetu

Jakelija voi hyötyä petollisesta virustentorjunnasta monin eri tavoin.

• Tyypillinen haittaohjelmakäyttäytyminen: tilien varastaminen , käyttöjärjestelmän estäminen , tietokoneen laskentatehon hyödyntäminen jne.
• Ohjelma voi " demotilassa " simuloida virusten havaitsemista ja antaa varoituksia siitä, että käyttöjärjestelmä ei ole suojattu, ja sen korjaamiseksi pyytää rekisteröitymistä [16] [17] . Antaakseen vaikutelman tartunnasta väärennetty virustorjunta voi asentaa oikeita viruksia ja löytää ne, horjuttaa käyttöjärjestelmää keinotekoisesti muuttamalla tärkeitä asetuksia ja jopa simuloida "sinisiä näyttöjä" [2] .
• Väärä virustorjunta voi pyytää rahaa pseudohyväntekeväisyyteen [18] .
• Viruksentorjuntaohjelma voi olla todellinen (perustuu yleensä ClamAV : hen ), mutta sen hinta on yleensä korkeampi kuin analogien hinta. Yleensä he myyvät lisenssin neljännesvuosittain - jotta voit vertailla hintoja, sinun on luettava ehdot ja yhdistettävä aritmetiikka.

Yksinkertaisimmat merkit vilpittömästä virustorjunnasta

Jakelijasivusto

• Hoito tai esittely verkossa [19] . Verkkoselaimet on suunniteltu siten, että sivustolla ei ole pääsyä tietokoneella oleviin tiedostoihin ollenkaan. Siksi desinfiointi verkon kautta on mahdotonta, ja virustarkistuspalvelut, kuten VirusTotal , eivät tarkista levyjä, vaan vaativat sinua lähettämään epäilyttävän tiedoston tarkastettavaksi. Ja virustentorjunnan tehokkuus ei korreloi käyttöliittymän kauneuden kanssa.
• Suuri määrä olemattomia palkintoja [19] .
• Todellinen virustorjunta ei voi taata "100-prosenttista paranemista". Virus täytyy saada kiinni "luonnosta", yksi Internet-aktivisteista lähettää sen virustorjuntaasiantuntijoille, he tutkivat sen - ja vasta sen jälkeen virus tulee tietokantaan. Tämä vie aikaa.
• "Koukut" lisenssisopimuksessa: joko tämä on "viihdeohjelma" tai maksu menee " ClamAV -tekniseen tukeen " [19] .
• Maksu tekstiviestillä . Lailliset virustorjuntaohjelmat suosivat maksujärjestelmiä ja pankkikortteja [19] .

Ohjelma

• Pieni asentajan koko tai ei asennusvaihetta [19] . Kaikilla viruksilla on suuri viruskanta: Dr. Web CureSe vie yli 200 megatavua, samanlainen versio Kaspersky antivirus  -ohjelmasta - noin 150. Joissakin virustorjuntaohjelmissa (esimerkiksi Avast ) on pieni Internet-asennusohjelma, mutta sitten kaikki nämä megatavut ladataan Internetistä asennuksen aikana.
• Muut virustentorjuntaohjelmat tunnistavat [19] .
• Toimii "puhtaalla" alusta asennetulla käyttöjärjestelmällä [19] , havaitsee virukset, jotka eivät ole tyypillisiä tälle käyttöjärjestelmälle (Windowsissa leviävä virus havaitaan Linuxissa ).
• UAC - ikkuna on keltainen (allekirjoittamaton ohjelma) tai sininen, mutta omistaja on väärässä (vuotanut avain). Virustorjuntaohjelman kirjoittaminen on monimutkaista ja kallista, ja virustentorjuntakehittäjillä on varaa varmenteeseen ohjelmistolle.
• Jos olet tietokoneen ainoa järjestelmänvalvoja, ohjelma, jota et ole asentanut. Kuitenkin pienempiä suorituskykyyn ja turvallisuuteen liittyviä apuohjelmia , kuten rekisterinpuhdistusaineita, jaetaan joskus "lisäksi".
• Yksinkertaisimmatkin toiminnot ovat maksullisia, ilman kokeilujaksoja ja ilmaisia ​​versioita [19] . Rahaa pyydetään lisäominaisuuksista: palomuurista, paikallisesta monitorista, online-päivityksistä jne. Eikä mikään virustorjunta vaadi rahaa uhan poistamiseen.
• Pakkomielteiset viestit siitä, että tietokone on haavoittuvainen tai sinun on ostettava ohjelma - ja useimmiten molemmat samanaikaisesti [19] .
• Kaiken itseään kunnioittavan ohjelmiston yksinkertaisimmat toiminnot saattavat puuttua: pysäytä virustentorjunta väliaikaisesti, poista ohjelma tavallisilla käyttöjärjestelmän työkaluilla [19] . Todelliseen virustorjuntaan ei välttämättä ole muita asetuksia (välityspalvelimet , poissulkemisluettelot) [19] .

Muistiinpanot

1. ↑ Symantecin raportti Rogue Security Softwaresta . Symantec (28. lokakuuta 2009). Haettu 15. huhtikuuta 2010. Arkistoitu alkuperäisestä 13. elokuuta 2012. (määrätön)
2. ↑ 1 2 3 Microsoft Security Intelligence -raportti, nide 6 (heinäkuu - joulukuu 2008) 92. Microsoft (8. huhtikuuta 2009). Haettu 2. toukokuuta 2009. Arkistoitu alkuperäisestä 13. elokuuta 2012. (määrätön)
3. ↑ FakeAV-liiketoiminta elää ja voi hyvin | turvallinen lista . Haettu 31. heinäkuuta 2020. Arkistoitu alkuperäisestä 21. lokakuuta 2020. (määrätön)
4. ↑ Leyden, John Zango uppoaa: Desktop-mainosohjelmistomarkkinoiden loppu . Rekisteri (11. huhtikuuta 2009). Haettu 5. toukokuuta 2009. Arkistoitu alkuperäisestä 13. elokuuta 2012. (määrätön)
5. ↑ Tulos avoimen lähdekoodin skannauksesta näppäimistön koukulle , joka nähtiin keyloggerissa .
6. ↑ 1 2 Doshi, Nishant (2009-01-19), Harhaanjohtavat sovellukset - Näytä minulle rahaa! , Symantec , < https://forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/53 > . Haettu 2. toukokuuta 2009. (kuollut linkki)  
7. ↑ Täydellinen huijaus – teknologiakatsaus . Käyttöpäivä: 7. heinäkuuta 2011. Arkistoitu alkuperäisestä 29. tammikuuta 2012. (määrätön)
8. ↑ Uutiset Adobe Readerin ja Acrobatin haavoittuvuus . blogs.adobe.com. Haettu 25. marraskuuta 2010. Arkistoitu alkuperäisestä 13. elokuuta 2012. (määrätön)
9. ↑ Chu, Kian & Hong, Choon (2009-09-30), Samoa Earthquake News Leads To Rogue AV , F-Secure , < http://www.f-secure.com/weblog/archives/00001779.html > . Haettu 16. tammikuuta 2010. Arkistoitu 29. lokakuuta 2014 Wayback Machinessa 
10. ↑ Hines, Matthew (2009-10-08), Malware Distributors Mastering News SEO , eWeek , < http://securitywatch.eweek.com/seo/malware_distributors_mastering_news_seo.html > . Haettu 16. tammikuuta 2010. Arkistoitu 21. joulukuuta 2009 Wayback Machinessa 
11. ↑ Raywood, Dan (2010-01-15), Haitin maanjäristykseen liittyvissä linkeissä yleinen Rogue-virustorjunta, koska lahjoittajia kehotettiin etsimään huolellisesti aitoja sivustoja , SC Magazine , < http://www.scmagazineuk.com/rogue -anti-virus-prevalent-on-links that-release-to-haiti-earthquake-as-donors-kannustetaan-to-look-carefully-for-genuine-sites/article/161431/ > . Haettu 16. tammikuuta 2010. Arkistoitu 29. lokakuuta 2014 Wayback Machinessa 
12. ↑ Doshi, Nishant (2009-01-27), Harhaanjohtavat sovellukset - Näytä minulle rahaa! (Osa 3) , Symantec , < https://forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/55 > . Haettu 2. toukokuuta 2009. (kuollut linkki)  
13. ↑ Stewart, Joe (22.10.2008), Rogue Antivirus Dissected - Osa 2 , SecureWorks , < http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus -part-2 > Arkistoitu 2. maaliskuuta 2009 Wayback Machinessa 
14. ↑ Moheeb Abu Rajab ja Luca Ballard. The Nocebo Effect on the Web: Analyys of Fake Anti-Virus Distribution  (englanniksi)  : lehti. - Google , 2010. - 13. huhtikuuta.
15. ↑ Google kielsi .CO.CC-verkkotunnukset | http://info.nic.ru _ Käyttöpäivä: 7. lokakuuta 2013. Arkistoitu alkuperäisestä 29. lokakuuta 2014. (määrätön)
16. ↑ "Free Security Scan" voi maksaa aikaa ja rahaa , Federal Trade Commission , 10.12.2008 , < http://www.ftc.gov/bcp/edu/pubs/consumer/alerts/alt121.shtm > . Haettu 2. toukokuuta 2009. Arkistoitu 15. marraskuuta 2012 Wayback Machinessa 
17. ↑ SAP tienhaarassa hävittyään 1,3 miljardin dollarin tuomion (linkki ei saatavilla) . Yahoo! Uutiset (24. marraskuuta 2010). Haettu 25. marraskuuta 2010. Arkistoitu alkuperäisestä 13. elokuuta 2012. (määrätön) 
18. ↑ CanTalkTech - Fake Green AV naamioituu tietoturvaohjelmistoksi, jolla on syy (downlink) . Haettu 2. heinäkuuta 2011. Arkistoitu alkuperäisestä 8. heinäkuuta 2011. (määrätön) 
19. ↑ 1 2 3 4 5 6 7 8 9 10 11 Kaspersky Lab huijareista virustentorjuntaohjelmista . Käyttöpäivä: 4. toukokuuta 2014. Arkistoitu alkuperäisestä 28. toukokuuta 2015. (määrätön)

Linkit

• Howes, Eric L (2007-05-04), Spyware Warrior: Rogue/Suspect Anti-Spyware Products & Web Sites , < http://www.spywarewarrior.com/rogue_anti-spyware.htm > . Haettu 2.5.2009. 
• (en) List_of_rogue_security_software , < https://en.wikipedia.org/wiki/List_of_rogue_security_software > 
• Kaspersky Lab: Rogue-tietoturvaohjelmisto , < http://support.kaspersky.ru/viruses/rogue > . Haettu 24. huhtikuuta 2012.