Analitycy z Kaspersky Lab wykryli nowego szkodnika rozprzestrzeniającego się na Twitterze. Robak wy- korzystuje usługę Google pozwalającą na skracanie odsyłaczy (goo.gl) i nakłania niczego niepodejrzewających użytkowników do instalowania fałszywych programów antywirusowych na swoich komputerach.
Robak przekierowuje użytkowników Twittera na stronę WWW oferującą fałszywe rozwiązanie antywirusowe o nazwie „Security Shield”. Cyberprzestępcy użyli specjalnych technik, aby ukryć prawdziwy kod strony przed bardziej wnikliwymi osobami.
– Szkodliwe odsyłacze w wiadomościach na Twitterze przekierowują użytkowników na różne domeny, w obrębie których znajduje się strona o nazwie ‘m28sx.html’” – mówi Nicolas Brulez, ekspert z Kaspersky Lab. – Ta strona z kolei przerzuca użytkowników jeszcze dalej, pod adres w domenie zlokalizowanej w Ukrainie.
Jakby tego było mało, domena ta przekierowuje na inny adres IP, który był już wcześniej wykorzystywany przez cyberprzestępców do oferowania użytkownikom fałszywych programów antywirusowych. – Ten adres wykonuje ostatnie przekierowanie, które prowadzi wprost do strony zawierającej szkodliwy kod – tłumaczy Nicolas Brulez.
W efekcie atakowany użytkownik widzi sfałszowaną informację o tym, że na komputerze działają podejrzane aplikacje i otrzymuje propozycję uruchomienia skanowania antywirusowego. Jak zwykle w takich przypadkach, po uruchomieniu „skanowania” komputer jest infekowany prawdziwymi szkodliwymi programami, a użytkownik otrzymuje ofertę zakupu programu antywirusowego w atrakcyjnej cenie. Program ten oczywiście jest fałszywy, a jego instalacja prowadzi wyłącznie do dalszych infekcji.
Szczegóły techniczne dotyczące nowego robaka dla Twittera można znaleźć na blogu analityków z Kaspersky Lab, publikowanym w Encyklopedii Wirusów VirusList.pl: http://www.viruslist.pl/weblog.html?weblogid=697.
 |
|
Okno fałszywego programu antywirusowego „Security Shield” |
Jak ustrzec się fałszywych programów antywirusowych (ang. scareware)?
Stosowanie się do poniższych porad pomoże w ustrzeżeniu się przed fałszywymi programami antywirusowymi:
- Programy zabezpieczające pobieraj bezpośrednio ze strony producenta lub z dużych i sprawdzonych portali.
- Zainstaluj dodatki umożliwiające blokowanie skryptów z poziomu przeglądarki.
- W przypadku wejścia na jakąkolwiek witrynę nie wierz komunikatom obwieszczającym infekcję systemu i konieczność instalacji dodatkowych programów.
- W razie wątpliwości co do autentyczności programu znajdującego się na dysku, zapytaj o poradę na jednym z forów internetowych lub skontaktuj się z producentem oprogramowania antywirusowego.
Fałszywe antywirusy nie posiadają konkretnej marki czy nazwy, z którą można by je kojarzyć. Zamiast tego ich twórcy używają słów kluczowych, takich jak: Security, Antivirus2010, SpyGuard.