Russisk cybergangs Gjør nettet til et farlig sted

Russiske cybergang har etablert et robust system for å fremme nettsteder som selger falsk antivirusprogramvare, legemidler og forfalskede luksusprodukter, ifølge en ny rapport fra sikkerhetsleverandøren Sophos.

For å selge falske varer er mange av disse nettstedene avhengige av hundrevis av " affiliate-nettverk ", som i hovedsak er entreprenører som finner måter å lede web-brukere til de dårlige nettstedene, skrev Dmitry Samosseiko, en Sophos-analytiker. Han gjorde en presentasjon denne uken på Security Bulletin Security i Genève.

Affiliate nettverk har eksistert lenge, og det er mange legitime. Men "de fleste av de mest kraftfulle og kontroversielle tilknyttede nettverkene er basert i Russland," skrev Samosseiko.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

I russene heter nettverket "partnerka "og fokusere utelukkende på å fremme de mørke hjørnene på nettet. I hovedsak er noen som ønsker å bli en del av et tilknyttet, registrert på et passordbeskyttet forum, hvorav de fleste er nå lavprofil og krever en invitasjon. Når den nye kontraktøren har fått beskjed, blir det gitt et sett med nettsteder for å fremme.

En måte å gjøre det på er å infisere datamaskiner med skadelig programvare, enten via nettsøppel eller på annen måte. Malware kan tukle med en datamaskinens DNS-innstillinger (Domain Name Server) for å lede brukeren til et falskt Google-søkemotor-nettsted, som sammenfatter ekte søkeresultater med de som fører til for eksempel et nettsted som selger falsk antivirusprogramvare.

Et annet triks kalles svart hatt SEO (søkemotoroptimalisering). Det innebærer å skape et nettsted, og deretter bruke en rekke triks som for det meste er forbudt av søkemotorer for å få disse nettstedene høyt i søkerangeringer. Metoder inkluderer å inkorporere de mest brukte søkeordene, ofte oppført av søkemotorer som Googles Trender, til et nettsted.

Disse tilknyttede "døråpning" -nettene vil omdirigere brukere til en dodgy webside. Et henvisningssted kan tjene en provisjon hvis en person for eksempel kjøper noe.

Trikset for noen som selger et produkt er å "velge en partnerka med høy konverteringsfrekvens for å sikre at den genererte inntekten blir større enn kostnaden av trafikken i seg selv, "skrev Samosseiko.

Det er en lumsk, men likevel lønnsom ordning. Sophos var i stand til å kikke på en av de mest populære partnerkaene som heter RefreshStats. Det nettstedet anslår partnere for å lage nettsteder som binder folk til å laste ned en kodek, eller et program som kreves for å spille av video. Kodek er uunngåelig, og PC-en er vanligvis infisert med falsk antivirusprogramvare.

Samosseiko skrev at Sophos var i stand til å se et administratorprensesnitt for RefreshStats som viste hvor mange forskjellige entreprenører som har gjort fra ordningen. En bestemt entreprenør tjente USD 6 456 i august 2008. En annen tilknyttet, kalt Topsale, tilbyr opptil $ 25 provisjon for hvert salg av et falskt antivirusprodukt.

Samosseiko skriver i sin konklusjon at det er håpfulle tegn på at rettshåndhevelse og forskere kan ta ned de rogue datterselskapene. Men ved alle tiltak ser det ut til at bransjen sakker seg.

En nylig rapport fra sikkerhetsleverandøren Panda Security sa at så mange som 35 millioner datamaskiner over hele verden kan bli smittet med falske antivirusprogrammer hver måned. Selskapet har samlet en forbløffende 200.000 eksemplarer av forskjellige rogue antivirusprodukter, hvorav omtrent 80 prosent er kopier eller er små endringer av 10 grunnleggende familier av falske produkter, sa Luis Corrons, direktør for PandaLabs.

"Vi så flere og flere Brukerne ble smittet, sier Corrons.