Feilinfeksjonsadvarsler kan være ekte problemer

Michael Vana visste at noe var opp da han så popup-vinduet fra "Antivirus 2009" midt på skjermen. Den tidligere Northwest Airlines avionics tekniker gjettet at den alvorlige advarselen om en systeminfeksjon var falsk, men da han klikket på X for å lukke vinduet, utvidet den til å fylle skjermen. For å bli kvitt den måtte han stenge PCen sin.

Lyd kjent? Skitne triks som disse, designet for å få deg til å installere og kjøpe falske antivirusprodukter, er mer vanlige enn noensinne. (For råd om hvordan du fortsetter hvis du har installert et falskt antivirusprogram på din PC, se "Antivirus 2009: Slik fjerner du Falsk AV-programvare.") Men mens du kanskje kjenner igjen slike advarsler som falske, vet du kanskje ikke at falsk Advarsel kan være en rød advarsel om en underliggende mal malware infeksjon. Å vite forskjellen er nøkkelen.

"Det er ikke noe du blinker enda lenger," sier Christopher Boyd, senior direktør for malwareforskning for kommunikasjonssikkerhetsfirma FaceTime Communications, om forespørsler om hjelp til å håndtere disse advarselstoppene.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Den økte forekomsten av disse popup-vinduene skyldes flere skurker som går etter enkle penger fra skyggefulle tilknyttede programmer, som betaler et stort kutt av fortjenesten - opptil 90 prosent - for hver person som feilaktig forker over penger til et falskt program, uansett hva som har gitt dem til å betale. Ofte kommer fremkallingen fra et ondsinnet nettsted som bruker JavaScript-tricks til å kaste opp en haug med popup-vinduer, eller til og med endre størrelsen på seerens nettleservindu, for å lage noe som ser ut som en ekte antivirusskanning.

Du kan komme til slike et nettsted ved å bruke en dårlig søkelink, som den ene Boyd klikket for et gratis online Batman-spill. Han ble omdirigert til et nettsted som tok over sin nettleser for å vise en falsk AV-skanning, som da fant (fiktive) kritiske infeksjoner som kunne løses ved å kjøpe det rogue antivirusprogrammet.

Hvis et nettsted bare hijacker nettleseren din, gjør du ikke Du trenger ikke å bekymre deg for mye: Pop-ups eller falske skannervinduer forårsaker ikke varig skade, sier Boyd. Du kan bli forhindret i å lukke vinduet, som Michael Vana var, men du kan vanligvis hente Windows Task Manager med Ctrl-Alt-Delete og lukke nettleseren på den måten. Noen ganger slår Alt-F4 bare ned.

"For å gjøre dette bruker [den falske siden] ekte kode og utnytter ikke vanligvis et hull," sier Boyd. Så lenge du ikke gjør panikk og installerer det drevne programmet, oppstår det ingen reell skade.

Bot-Based Fake Antivirus

Dessverre kan du på annen måte motvirke et falskt antivirusprogram langt verre.

Joe Stewart, en direktør for malwareforskning med SecureWorks, et sikkerhetsvirksomhetsselskap for bedrifter, sporer bot malware for å leve. Kriminelle bruker botinfiserte datamaskiner, noen ganger samlet inn i store nettverk (kalt botnets) på hundre tusen eller flere systemer, for å sende spam over hele verden. Men de bruker også roboter til å laste ned rogue antivirusprogrammer og annen malware på et offerets PC.

"Det er en bevist måte å tjene penger på en botnet," sier Stewart. "Omtrent alle med en allerede distribuert botnet kan potensielt se på dette som en måte å tjene ekstra penger."

Ifølge Stewart, gjør skurkerne pengene enten ved å få noen til å laste ned en antatt prøveversjon av den rogue AV- -co-opting av en legitim programvare-salgsteknikk - eller ved å installere denne programvaren bak-scenen med en bot.

Når installert, bruker skurken vanligvis svært forverrende teknikker, for eksempel å skifte Windows-skrivebordsbakgrunnen for å advare om en antas infeksjon og viser konstante andre advarsler, for å presse deg til å kjøpe den fullstendige versjonen av programvaren.

Du kan kanskje ikke laste ned rogue AV som svar på en falsk nettleser-popup. Men når du blir bedt om å laste den ned av en ondsinnet kontroller, vil en skjult bot aldri gi deg sjansen til å søke god mening.

Hvis du følger grunnleggende sikkerhetsregler, for eksempel å holde din bona fide antivirusprogram oppdatert og være forsiktig med e-postvedlegg og nedlastinger, kan du redusere oddsen for å bli smittet med en bot eller annen malware. Men hvis du ser popup-vinduer eller andre falske advarsler fra rogue AV på datamaskinen din, er det en god idé å prøve å avgjøre om det er fra et nettsted eller fra den faktiske programvaren som er installert av en bot (eller av noen andre som bruker PCen).

Muligheter Uendelig

Det er mange variasjoner på falsk programvare-svindel, og skurk taktikker varierer, så det er ingen universell indikator om at en er til stede. Men pass opp for advarsler som vedvarer etter at du har startet PCen på nytt, spesielt hvis du ser dem før du åpner nettleseren din. Å se et ukjent advarselsikon i systemstatusfeltet er et annet dårlig tegn, spesielt hvis du ikke kan høyreklikke på det og få det til å gå vekk. Og hvis skrivebordsbakgrunnen din har endret seg, er du definitivt smittet med det rogue antivirusprogrammet, sier Boyd.

Det er en anelse om kilden til dette søppelet. Et utvalg som Stewart undersøkte, så kalt "Antivirus XP 2008", skulle først sjekke PCens systemkonfigurasjon for å se om den var lokalisert i et land med mange etniske russere. Det vil også undersøke brukerens Internet Explorer for besøk til den russiske versjonen av Google. Hvis det oppsto noe slikt bevis, ville installatøren straks slutte uten å plage det potensielle offeret. Ifølge Stewart er det nok å garantere at russisktalende brukere aldri vil se en Antivirus XP 2008 installasjon. Men Internett-brukere utenfor den tidligere Østblokken hadde det bedre å passe på.