Cảnh báo nhiễm trùng giả có thể trở thành rắc rối thực sự

Michael Vana biết điều gì đó đã xảy ra khi anh nhìn thấy cửa sổ bật lên từ "Antivirus 2009" ở giữa màn hình. Cựu kỹ thuật viên hàng không của Northwest Airlines đã đoán rằng cảnh báo nghiêm trọng về nhiễm trùng hệ thống là giả, nhưng khi anh nhấp vào X để đóng cửa sổ, nó mở rộng để lấp đầy màn hình của anh. Để thoát khỏi nó, anh phải tắt máy tính của mình.

Âm thanh quen thuộc? Các thủ thuật bẩn thỉu như thế này, được thiết kế để giúp bạn cài đặt và mua các sản phẩm chống vi-rút giả mạo, phổ biến hơn bao giờ hết. (Để được tư vấn về cách tiến hành nếu bạn đã cài đặt phần mềm chống virút giả mạo trên PC, xem "Antivirus 2009: Cách gỡ bỏ phần mềm AV giả.") Nhưng trong khi bạn có thể nhận ra những cảnh báo như vậy, bạn có thể không biết rằng giả mạo cảnh báo có thể là một cảnh báo màu đỏ về một nhiễm phần mềm độc hại bot tiềm ẩn. Christopher Boyd, giám đốc cấp cao về nghiên cứu phần mềm độc hại cho công ty bảo mật truyền thông FaceTime Communications, yêu cầu giúp đỡ trong việc giải quyết các cửa sổ pop-up cảnh báo này:

"Đó không phải là điều mà bạn thậm chí còn chớp mắt nữa".

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows của bạn]

Tỷ lệ gia tăng của các cửa sổ bật lên này là do nhiều kẻ lừa đảo hơn sau khi kiếm tiền dễ dàng từ các chương trình liên kết râm. lên đến 90 phần trăm - đối với mỗi người nhầm lẫn tìm kiếm tiền cho một chương trình giả mạo, bất kể những gì trong đó làm cho họ phải trả tiền. Thông thường, sự lôi cuốn xuất phát từ một trang Web độc hại sử dụng các thủ thuật JavaScript để tung ra một loạt các cửa sổ bật lên, hoặc thậm chí thay đổi kích thước cửa sổ trình duyệt của người xem, để tạo ra một cái gì đó trông giống như một chương trình quét vi-rút thực.

một trang web bằng cách sử dụng liên kết tìm kiếm không hợp lệ, giống như trang web Boyd đã nhấp vào trò chơi Batman trực tuyến miễn phí. Anh ta bị chuyển hướng đến một trang web đã truy cập trình duyệt của mình để hiển thị một bản quét AV giả mạo, sau đó phát hiện thấy các nhiễm trùng quan trọng có thể khắc phục bằng cách mua chương trình chống vi-rút giả mạo.

Nếu trang web chỉ chiếm đoạt trình duyệt của bạn, bạn không Không phải lo lắng quá nhiều: Cửa sổ pop-up hoặc cửa sổ máy quét giả không gây ra thiệt hại lâu dài, Boyd nói. Bạn có thể bị chặn đóng cửa sổ, như Michael Vana, nhưng bạn thường có thể mở Trình quản lý tác vụ Windows bằng Ctrl-Alt-Delete và đóng trình duyệt của bạn theo cách đó. Đôi khi chỉ cần nhấn Alt-F4 sẽ tắt nó.

"Để làm điều này, [trang giả mạo] sử dụng mã thực, và thường không khai thác lỗ hổng," Boyd nói. Miễn là bạn không pan-ic và cài đặt các chương trình đẩy, không có hại thực sự xảy ra.

Bot-Based Fake Antivirus

Thật không may, cách khác bạn có thể en-counter một chương trình chống virus giả là tồi tệ hơn.

Joe Stewart, giám đốc nghiên cứu phần mềm độc hại với SecureWorks, một công ty dịch vụ bảo mật cho doanh nghiệp, theo dõi phần mềm độc hại bot để kiếm sống. Tội phạm sử dụng máy tính bị nhiễm bot, đôi khi tập trung vào các mạng khổng lồ (được gọi là botnet) của một trăm nghìn hệ thống trở lên, để gửi spam trên toàn cầu. Nhưng họ cũng sử dụng các chương trình để tải xuống các chương trình diệt virus giả mạo và các phần mềm độc hại khác trên PC của nạn nhân.

"Đó là một cách kiếm tiền được chứng minh từ một botnet", Stewart nói. "Chỉ là về bất cứ ai với một botnet đã được triển khai có khả năng nhìn vào đây như một cách để kiếm thêm tiền."

Theo Stewart, kẻ lừa đảo kiếm tiền đó bằng cách nhờ ai đó tải xuống phiên bản dùng thử của AV giả mạo -co-opting một kỹ thuật bán phần mềm hợp pháp - hoặc bằng cách cài đặt phần mềm đằng sau hậu trường với bot.

Sau khi cài đặt, rogue thường sử dụng các kỹ thuật tăng nặng, chẳng hạn như thay đổi nền desktop của Windows để cảnh báo giả sử nhiễm trùng và hiển thị các cảnh báo liên tục khác, để đẩy bạn mua phiên bản đầy đủ của phần mềm.

Bạn có thể không biết tải xuống AV giả mạo để đáp ứng với trình duyệt giả mạo bật lên. Nhưng khi được hướng dẫn tải xuống nó bằng một bộ điều khiển độc hại, một bot ẩn sẽ không bao giờ cho bạn cơ hội áp dụng ý thức tốt của bạn.

Nếu bạn tuân thủ các biện pháp phòng ngừa bảo mật cơ bản, chẳng hạn như giữ phần mềm chống vi-rút của bạn luôn cập nhật và cẩn thận với các tệp đính kèm và tải xuống e-mail, bạn có thể giảm đáng kể tỷ lệ bị nhiễm bot hoặc phần mềm độc hại khác. Nhưng nếu bạn thấy cửa sổ bật lên hoặc cảnh báo giả mạo khác từ AV giả mạo trên máy tính, bạn nên thử xác định xem từ trang web hay phần mềm thực được cài đặt bởi bot (hoặc bởi người khác sử dụng PC)

Khả năng vô tận

Có nhiều biến thể về lừa đảo phần mềm giả, và các chiến thuật của kẻ gian khác nhau, do đó không có chỉ báo chung nào có mặt. Nhưng hãy chú ý cảnh báo vẫn tồn tại sau khi bạn khởi động lại PC, đặc biệt nếu bạn thấy chúng trước khi mở trình duyệt. Nhìn thấy một biểu tượng cảnh báo không quen thuộc trong khay hệ thống của bạn là một dấu hiệu xấu, đặc biệt nếu bạn không thể nhấp chuột phải vào nó và làm cho nó biến mất. Và nếu nền máy tính của bạn đã thay đổi, bạn chắc chắn bị nhiễm virus giả mạo, Boyd nói.

Như nguồn gốc của rác thải này, đây là một đầu mối. Một loạt mà Stewart kiểm tra, sau đó được gọi là "Antivirus XP 2008", trước tiên sẽ kiểm tra cấu hình hệ thống của PC để xem liệu nó có nằm ở một quốc gia có nhiều người dân tộc Nga hay không. Nó cũng sẽ kiểm tra trình duyệt Internet Explorer của người dùng để truy cập vào phiên bản tiếng Nga của Google. Nếu nó gặp phải bất kỳ bằng chứng nào như vậy, trình cài đặt sẽ ngay lập tức thoát mà không ảnh hưởng đến nạn nhân tiềm năng. Theo Stewart, đó là "đủ để đảm bảo khá nhiều người dùng nói tiếng Nga sẽ không bao giờ nhìn thấy cài đặt Antivirus XP 2008". Nhưng những người dùng Internet bên ngoài Khối Đông cũ đã xem tốt hơn.