過去兩年中,我們多次介紹過一些程序會冒充其他程序的案例。其中,最為聲名狼藉的當屬流氓反病毒解決方案——這種程序會顯示提示信息,即使用戶的計算機系統是乾淨的,也會聲稱用戶計算機已被病毒感染。這種程序不會掃描系統或清除病毒,他們的唯一目的是誤導用戶認為自身計算機處於風險之中,用戶迫於恐嚇,會購買他們所謂的「反病毒」產品。這類程序通常被稱為「恐嚇軟體」,卡巴斯基實驗室將這種軟體歸類為欺詐工具軟體,統屬於風險軟體範疇。
示例:FraudTool.Win32.SpywareProtect2009欺詐軟體主界面
網絡罪犯正在積極推廣這種惡意程序,使得此類惡意程序的傳播非常廣泛。卡巴斯基實驗室在2008年上半年檢測到大約3,000種流氓反病毒軟體,而到2009年,僅上半年就檢測到超過20,000種此類惡意軟體樣本。
常用的傳播伎倆
首先,這些流氓反病毒軟體是如何感染用戶計算機的呢?這些惡意軟體的傳播方式同其他惡意軟體類似,例如,下載器木馬可以偷偷將這些程序下載到本地計算機,或者利用已感染網站的漏洞執行瀏覽即下載,將流氓反病毒軟體下載到受害計算機。
但是大多數情況下,都是用戶自己將這種惡意軟體下載到本地的。因為網絡罪犯會使用專門程序(欺騙程序)或廣告誘騙用戶進行下載。
欺騙程序也是一種欺詐軟體,他們會試圖說服用戶需要下載一種「性能卓越」的反病毒解決方案,有時候即使用戶選擇拒絕安裝此類流氓反病毒軟體,這種欺騙程序還是會將那些假冒的反病毒軟體安裝到受害者計算機上。
欺騙程序通常通過後門程序或利用網站的漏洞下載到受害者計算機上。一旦這種程序被安裝到計算機,會自動彈出警告窗口,提示用戶計算機系統發現多個錯誤,註冊表損壞或數據被竊。
Hoax.Win32.Fera彈出的警告信息
上述截圖是一個偽造的警告信息,信息提示用戶計算機被間諜軟體所感染。並且會提示用戶下載一個所謂的「間諜軟體清除工具」。即使用戶選擇「否」,流氓反病毒軟體仍然會被下載到本地計算機。
網絡罪犯還會利用網際網路廣告傳播流氓反病毒軟體。目前,很多網站都具有廣告條,向瀏覽用戶推薦性能神奇的可以解決各種惡意程序威脅的安全解決方案。甚至在一些合法網站上,也能看到這些為「新型反病毒解決方案」做廣告的廣告條或Flash。有時候用戶在瀏覽網站時,會有瀏覽器窗口彈出,向用戶推薦下載免費的反病毒軟體,下圖即為這種彈出式廣告例子:
Opera瀏覽器中彈出的廣告窗口
通常,這種彈出窗口根本不會給用戶任何選擇權,因為其彈出的選項只有一個按鈕,「確定」或者「是」。即使按鈕標識為「否」或者「取消」,不管用戶選擇哪個按鈕,流氓反病毒軟體還是會被下載到計算機。
卡巴斯基實驗室最近發現一種網絡罪犯使用的動態流氓反病毒軟體下載技術。示例如下:通過位於********.net/online-j49/yornt.html的腳本生成一個重定向地址http://******.mainsfile.com.com/index.html?Ref=』+encodeURIC組件(文件引用標識)。生成的地址取決於用戶訪問包含腳本網頁的方式(通過文件引用標識實現),換句話說,就是取決於用戶先前瀏覽的網站。在本市例子中,重定向地址為:http://easyincomeprotection.cn/installer_90001.exe,這個地址放置有一種新型的流氓反病毒軟體——FraudTool.Win32.AntivirusPlus.kv。
動態傳播方式允許網絡罪犯隱藏下載惡意軟體頁面的真實IP位址。從而使反病毒廠商很難獲取到這些文件進行分析,以便於檢測。這種傳播方式也普遍被用戶傳播其他蠕蟲或病毒。
例如,Net-Worm.Win32.Kido.js(可以用來組建殭屍網絡)採用DDNS技術,同時也可以下載和安裝一種名為FraudTool.Win32.SpywareProtect2009.s的流氓反病毒軟體。這表明背後操作和推廣這兩種惡意程序的可能是同一個或同一批惡意軟體編寫者,他們可以利用那個第一個蠕蟲安裝第二種惡意軟體。
恐嚇用戶安裝惡意軟體
現在,我們已經知道流氓反病毒軟體是如何感染系統的。那麼進入系統後,惡意軟體都有哪些行為呢?
首先,第一步是進行系統掃描。掃描過程中,流氓反病毒軟體會顯示一些經過精心策劃的提示信息。例如,首先會提示發現Windows錯誤,然後提示發現系統被惡意程序感染,接下來會向用戶推薦安裝一款反病毒軟體。有時候,為了使提示看起來更具說服力,在安裝流氓反病毒軟體時會另外安裝一個文件,然後通過所謂的「掃描」,發現該文件「染毒」。
雖然流氓反病毒軟體會提示可以為用戶修正系統錯誤,清除感染,但這種服務卻不是免費的。當然,流氓反病毒軟體表現得越像真正的安全軟體,網絡罪犯從受害者那裡騙取到錢財的可能性也越大。
以下是兩個流氓反病毒軟體的示例,分別為FraudTool.Win32.DoctorAntivirus 和 FraudTool.Win32.SmartAntivirus2009。如下面截圖所示,兩個軟體都「檢測」到這臺運行Windows XP Professional Service Pack 2的計算機有一些其實並不存在的問題,然後提示想要清除感染,必須付費激活軟體。其中,DoctorAntivirus 檢測到40個後門程序、木馬以及間諜軟體,並且警告用戶這些威脅可能導致系統故障。而SmartAntivirus2009也檢測出大量問題,並同樣警告用戶這些問題有安全隱患。
DoctorAntivirus 2008(左)和Smart Antivirus 2009(右)的系統「掃描」結果
點擊「清除」按鈕後,兩個軟體都會彈出窗口,要求用戶購買其假冒的反病毒軟體產品。如果用戶同意購買,就會出現幾種付款方式,包括PayPal、美國運通卡支付等。付款後,用戶會收到一個註冊碼。上述兩種流氓反病毒軟體都採用了代碼驗證激活方式,並且都確保隨機輸入字符進行激活無效。這種技術可以使得軟體顯得更為正規。但是,用戶購買後收到的驗證碼也很少管用,流氓反病毒軟體會提示輸入的驗證碼有誤,試圖讓用戶再次付款
FraudTool.Win32.DoctorAntivirus(左)和FraudTool.Win32.SmartAntivirus 2009(右)的激活界面
DoctorAntiviru和SmartAntivirus2009的激活窗口幾乎完全相同。看上去應該是軟體開發者使用了相同的代碼生成程序,並且只對顯示文本和界面稍微進行了修改,其他都完全不變。
通常,這種所謂的免費反病毒軟體一旦宣稱檢測到(但不會清除)惡意程序,就會提示用戶激活完整版軟體(並會聲稱一旦付款購買,用戶可以享受高性能的安全保護以及技術支持)。
FraudTool.Win32.AntiMalware2009的激活提示
下圖是一種源自俄羅斯的名為Smart-Anti-Spyware的流氓反病毒軟體的激活窗口。要激活產品,用戶需要向一個號碼發送手機簡訊,這種詐騙手段在俄羅斯網際網路上很常見。
Smart-Anti-Spyware的激活窗口
[Smart-Anti-Spyware——用戶的好夥伴!要清除惡意程序感染和優化系統,提高性能,您必須購買完整版。請發送手機簡訊內容+q007到1171,將接受到的激活碼輸入以下窗口。]
惡意軟體生產線
如上所述,很多不同的流氓反病毒軟體的提示信息即使不完全一樣,至少都非常相似。所以很有可能這些軟體的編寫者在開發這些軟體時,使用的是同一個代碼生成程序。
流氓反病毒軟體經常使用同多態蠕蟲或病毒相類似的機制對抗反病毒解決方案,例如流氓反病毒軟體的主體被加密,隱藏其中的字符串和連結。為了確保程序正常運行,文件中的動態代碼可以在程序被載入前將惡意軟體主體進行解密。
FraudTool.Win32.MSAntivirus.cg 和FraudTool.Win32.MSAntispyware2009.a 是兩種典型的運用上述技術的流氓反病毒軟體。雖然這兩種惡意軟體來自不同的家族,但卻使用了相同的多態加密方式。下圖是這兩種軟體中包含的加密代碼片段,而且這兩個文件的結構完全相同。
FraudTool.Win32.MSAntivirus.cg的多態加密片段
FraudTool.Win32.MSAntispyware2009.a的多態加密片段
採用現成的軟體開發方案說明網絡罪犯可以在很短的時間內製造大量相似的惡意程序,而且採用這種手段還可以使開發出的惡意軟體躲避反病毒解決方案的特徵檢測。目前,已經形成了這種流氓反病毒軟體的生產線,此外,這些軟體自身也在進化,軟體本身越來越複雜,使得傳統的反病毒特徵檢測方式很難將他們識別。
另外,使用基於行為分析的啟發式籤名掃描技術也很難檢測出這些流氓反病毒軟體。因為很難區分流氓反病毒軟體是否是從合法軟體開啟的獨立窗口。所此,如果流氓反病毒軟體並不是採用非法打包程序進行打包,只能通過手動分析確定其是否是惡意軟體。因此,新型流氓反病毒軟體的檢測相當困難。
驚人的數據
下圖是流氓反病毒軟體從2007年至今的增長曲線圖。
流氓反病毒軟體的特徵碼數量月度增長曲線(2007-2009)
從上圖可以看到,流氓反病毒軟體的特徵數量從2008年上半年開始增長,雖然到08年年底時,增長速度有所緩和。但到2009年5月,又開始急劇增長。
造成近幾年流氓反病毒軟體數量大增的主要原因是因為這類軟體容易製造,傳播系統也非常有效,從而使網絡罪犯可以在短期內獲取到可觀的利潤。
目前,卡巴斯基實驗室收集到的流氓反病毒軟體分別來自318個不同的家族。下表列出了排名前二十的最常見流氓反病毒軟體家族。從2007年開始,針對這些家族惡意軟體的特徵也最多。排名前五的家族佔所有籤名數量的51.69%,他們都被個ileiweiFraudTool(詐騙工具軟體),其家族名稱還表明這些流氓反病毒軟體所假冒的反病毒軟體名稱。
| 流氓反病毒軟體家族 | 特徵數量 |
| not-a-virus:FraudTool.Win32.SpywareGuard2008 | 4652 |
| not-a-virus:FraudTool.Win32.XPAntivirus | 4519 |
| not-a-virus:FraudTool.Win32.SystemSecurity | 2090 |
| not-a-virus:FraudTool.Win32.XpPoliceAntivirus | 1950 |
| not-a-virus:FraudTool.Win32.AwolaAntiSpyware | 1370 |
| not-a-virus:FraudTool.Win32.PC-AntiSpy | 1356 |
| not-a-virus:FraudTool.Win32.VirusIsolator | 1134 |
| not-a-virus:FraudTool.Win32.WinSpywareProtect | 855 |
| not-a-virus:FraudTool.Win32.SpyNoMore | 758 |
| not-a-virus:FraudTool.Win32.Agent | 575 |
| not-a-virus:FraudTool.Win32.AntivirusXPPro | 434 |
| not-a-virus:FraudTool.Win32.AntiVirusPro | 374 |
| not-a-virus:FraudTool.Win32.AntiSpyware | 344 |
| not-a-virus:FraudTool.Win32.AntivirusPlus | 338 |
| not-a-virus:FraudTool.Win32.SpywareStop | 312 |
| not-a-virus:FraudTool.Win32.WinAntiVirus | 278 |
| not-a-virus:FraudTool.Win32.Antivirus2009 | 227 |
| not-a-virus:FraudTool.Win32.BachKhoa | 224 |
| not-a-virus:FraudTool.Win32.AdvancedAntivirus | 223 |
| not-a-virus:FraudTool.Win32.BestSeller | 214 |
| not-a-virus:FraudTool.Win32.AntiSpywareBot | 206 |
欺騙程序和詐騙工具軟體佔全部特徵數量比例(2007-2009)
從上表可以看出,針對詐騙軟體的特徵數量呈上升趨勢,這主要是由於流氓反病毒軟體的數量在增多,而並不是由於整體檢測的程序數量變多導致的。
新型流氓反病毒軟體越來越常見,卡巴斯基實驗室每天都會檢測到10到20種新的欺騙或詐騙工具軟體。而在兩三年前,每兩天才會出現一種新型流氓反病毒軟體,可見其增長速度驚人。
保護措施
流氓反病毒軟體不會破壞受害用戶的計算機,但網絡罪犯可以使用這些程序從那些經驗不足的計算機用戶手中騙取錢財。這些軟體具有另人信服的界面、關於感染的提示信息以及用戶購買「產品」提示,很容易說服用戶將自己的錢拱手送上。所以,用戶應該謹記一些安全守則,確保自己不會為假冒的反病毒軟體浪費錢財。
如果你在計算機上發現一個從未聽說過的反病毒軟體,可以檢查一下該軟體供應商是否有官方網站以及技術支持。如果沒有,可以肯定此軟體是流氓反病毒軟體。
正規合法的反病毒軟體絕對不會先掃描系統,然後立刻要求用戶付費激活軟體。所以用戶一定不要為這種產品付費。並且,用戶應安裝知名反病毒廠商開發的反病毒解決方案,通過正規軟體掃描和清除系統的威脅。
用戶應當只點擊自己計算機上安裝的合法反病毒軟體的提示信息,對於在瀏覽網站時隨機彈出的關於感染的警告信息,可以不必理會。即使您使用的瀏覽器安全組件或其他安全解決方案未能攔截彈出窗口,也不要點擊彈出來的窗口。如果您遵循以上安全守則,就能夠保證99%以上的機率攔截流氓反病毒軟體感染您的系統。
結論
不幸的是,用於詐騙用戶錢財的惡意軟體越來越普遍。除了流氓反病毒軟體外,還有其他詐騙惡意軟體的數量也呈穩步上升趨勢。網絡罪犯正在積極開發此類惡意程序,並且從各個方面如傳播規模和手段以及躲避反病毒檢測技術等多層次對惡意程序進行修改,增加傳播成功率。
很有可能此類惡意程序將來的發展趨勢會主要集中於躲避反病毒軟體檢測的技術。而且此類惡意程序數量可能還會繼續上升,相應地其受害者數量也會隨之增加。
網絡罪犯如此熱衷於傳播流氓反病毒軟體,說明該業務利潤相當可觀。網絡罪犯使用的恐嚇策略加大了詐騙的成功率。所以,我們再次強調用戶要安裝正規可靠的反病毒解決方案,因為這筆投資並不會白白浪費,用戶可以獲取到可靠的全方位安全保護。