Zatrważający wzrost. Liczba rogueware w ostatnich dwóch latach zwiększyła się, a ich nowe mutacje o zmienionym kodzie powstają praktycznie każdego dnia. W efekcie w Sieci krążą tysiące wersji każdego ze skatalogowanych już szkodników, co utrudnia ich wykrywanie.

Ni stąd, ni zowąd Pulpit staje się czarny, na ekranie pojawiają się alarmy o wykryciu wirusa, a pomoc w jego usunięciu proponuje nieznany program zabezpieczający – właśnie tak coraz częściej wyglądają ataki hakerów. Przestępcy rozpowszechniają fałszywe narzędzia antywirusowe (zwane rogueware albo fake AV), które wyświetlają fikcyjne komunikaty o znalezieniu szkodników i nakłaniają do zakupu pełnej – i jednocześnie drogiej – wersji umożliwiającej ich usunięcie. Ofiarą oszustów padły już miliony internautów.

W artykule pokazujemy, jak rozpoznawać i bezpiecznie usuwać programy typu rogueware. Szczególnie ważne jest posiadanie zaktualizowanego pakietu zabezpieczającego, gdyż co miesiąc w Sieci pojawiają się tysiące nowych fałszywych antywirusów
i miliony stron służących do ich rozpowszechniania – a trend wciąż jest rosnący.

Oszustwo. Strony fałszywych antywirusów są często tak dopracowane, że podróbkę trudno odróżnić od oryginału.

Diagnoza: Krzykliwe komunikaty
Aplikacje rogueware rozprzestrzeniają się poprzez spreparowane strony internetowe. Wykorzystując luki w przeglądarkach lub wtyczkach takich jak Flash Player, instalują szkodnika na komputerze lub nakłaniają użytkownika do pobrania fałszywego kodeka wideo zawierającego niebezpieczny kod.

Niezależnie od tego, jakim sposobem podrobiony antywirus znalazł się na naszym dysku, jego obecność objawi się na kilka sposobów. Najczęściej na ekranie pojawiają się uciążliwe komunikaty sygnalizujące wykrycie wirusa i nakłaniające do zakupu płatnej wersji narzędzia, która go usunie. Zamykajmy takie okna poprzez Menedżera zadań, gdyż samo kliknięcie przycisku »Anuluj« może spowodować otwarcie niebezpiecznej strony lub pobranie kolejnych szkodników. Niektóre programy wyświetlają również powiadomienia na Pasku zadań, pokazują ostrzeżenia firewalla lub zmieniają tapetę Pulpitu i wygaszacz ekranu. Ponadto fałszywe antywirusy przeszukują dysk znacznie szybciej niż prawdziwe i wykrywają nierealnie wiele zagrożeń.

Rogueware rzadko krążą po Sieci samotnie. Jeśli napastnikom uda się już uzyskać dostęp do naszego komputera, mogą łatwo przemycić do niego kolejne szkodniki. Częstymi towarzyszami fałszywych antywirusów są trojany szpiegujące aktywność użytkowników i niepostrzeżenie przekazujące hakerom ich prywatne dane lub pobierające inne niebezpieczne aplikacje, np. keyloggery. Czasami zaatakowany komputer jest również włączany do botnetu, w związku z czym jego właściciel nieświadomie przyczynia się do dalszego rozpowszechniania rogueware. W połączeniu ze spreparowanymi skanerami pojawiają się również pierwsze aplikacje typu ransomware, czyli narzędzia szantażujące użytkownika.

Wszystkie te szkodniki mają bombardować internautę sygnałami ostrzegawczymi, by w końcu poszukał pomocy na stronie fałszywego antywirusa. Linki do takich witryn są również rozpowszechniane w postaci spamu oraz przez znane popularne serwisy, takie jak YouTube, Facebook czy Twitter.

Podejrzenia powinny wzbudzać zaszyfrowane adresy URL, uniemożliwiające rozpoznanie właściwej nazwy witryny docelowej. Chcąc pobrać nowy program zabezpieczający, powinniśmy zawsze kierować się bezpośrednio na stronę jego producenta. Nawet wyszukiwanie przez Google nie jest bezpieczne – drugą najpopularniejszą drogą rozpowszechniania szkodliwych narzędzi są spreparowane wyniki wyszukiwania. Hakerzy wykorzystują do pozycjonowania swoich stron popularne w danym momencie tematy, ale też łączą je z konkretnymi zapytaniami o programy antywirusowe. Stosowane przez nich metody sprawiają, że witryny spreparowanych programów znajdują się wysoko na listach znalezionych pozycji. Zazwyczaj strony, których adresy pojawiają się w wyszukiwarce, same w sobie nie stanowią zagrożenia, ale odwiedzający je internauci są od razu przekierowywani do innych serwisów, które infekują ich maszyny.

Hakerzy przykładają dużą wagę do tego, by witryny fałszywych antywirusów wyglądały wiarygodnie: umieszczają na nich podrobione certyfikaty jakości, chwalą się wysokimi pozycjami w rankingach i obiecują wysokie rabaty. Niektórzy posuwają się nawet do uruchamiania działających infolinii i serwisów wsparcia technicznego. Ceny bezużytecznych programów wahają się od 40 do nawet 130 dolarów. Waluta, jaką mielibyśmy zapłacić za program, jest zresztą czynnikiem, który powinien wzbudzić naszą czujność – poważni sprzedawcy operujący w Polsce zwykle podają ceny w złotówkach. Zasadniczo należy trzymać się z daleka od wszystkich programów, które skanują system za darmo, ale każą płacić za możliwość usunięcia znalezionych wirusów.

Nigdy nie podawajmy na podejrzanych stronach danych karty kredytowej.
Aktualizowany na bieżąco pakiet do ochronny przed internetowymi zagrożeniami z reguły radzi sobie z wykrywaniem i usuwaniem programów typu rogueware. Gdyby jednak szkodnikowi udało się przedrzeć przez nasze umocnienia, np. dlatego że zapomnieliśmy o aktualizacji antywirusa, może on zablokować zabezpieczenia systemowe. A wtedy nie będzie można zainstalować uaktualnień, a często nawet uruchomić skanera. Musimy wtedy zaopatrzyć się w narzędzie innego producenta, które usunie niechcianego gościa, np. Kaspersky Virus Removal Tool. Inne wyjście to skorzystanie z bootowalnej płyty, na której niektórzy producenci pakietów ochronnych dostarczają swoje produkty – zapisane na niej narzędzia pomogą w wykryciu i usunięciu rogueware’u.\