Nep-antivirusscanners nog steeds een probleem

Door: G Data  12-12-2011
Trefwoorden: Fraude, G Data

Security-experts van G Data ontdekken overeenkomsten tussen meeste varianten

Badhoevedorp, 12 december 2011 – De afgelopen maanden hebben een neergaande lijn laten zien in infecties met nep-antivirusscanners, dankzij juridische maatregelen van verschillende overheden. Daarnaast hebben de grootste zoekmachines ervoor gezorgd dat fraude met de zoekresultaten (‘blackhat SEO poisoning) veel moeilijker is geworden. Desondanks heeft G Data’s SecurityLab onlangs een aantal nieuwe nep-antivirusscanners ontdekt die vele slachtoffers hebben gemaakt. Deze scanners zijn op zich niet erg nieuw en revolutionair, maar wanneer zij met elkaar worden geanalyseerd, zijn er toch wat interessante conclusies te trekken.
De laatste drie weken zijn er verschillende nep-antivirusscanners die volgens dezelfde werkwijze werken. Er zijn speciale websites gemaakt, die zich voordoen als legitieme site voor een antivirusscanner.  G Data analyseerde meerdere van deze sites en ontdekte dat de code ervan veel overeenkomsten vertoont. De meeste van deze sites simuleren de Microsoft Windows Explorer lay-out en tonen een nep-virusscan, waarna de bezoeker wordt aangeraden om de aangeboden (valse) antivirussoftware te installeren.

De scanners die door het SecurityLab werden geanalyseerd waren gebaseerd op de lay-out van Windows XP en Windows 7. De procedure na het openen van de scannerwebsite is verder gelijk. Internetgebruikers komen op deze sites terecht door bijvoorbeeld een geïnfecteerde legitieme site te bezoeken, die de bezoeker automatisch naar de gewraakte site doorstuurt. Ook kan een legitieme link op een site worden gemanipuleerd.

Na het bezoeken van een verkeerde site worden de volgende stappen doorlopen:

Stap 1: Nep-waarschuwing
Wanneer een internetgebruiker een geïnfecteerde website bezoekt, wordt een JavaScript-waarschuwing getoond. De syntaxis en lay-out hiervan verschilt per browser.

Stap 2:  Nep-scan van het systeem
Dit is de meest uitvoerige stap. Nadat de bezoeker de ‘OK’-knop heeft aangeklikt bij de eerste waarschuwing, wordt zogenaamd een scan van het systeem gestart. De scans zijn eenvoudige JavaScript code. De gescande bestanden, bestandextensies en ook de gevonden bedreigingen worden willekeurig gegenereerd door het script met een vaste set van waarden.

De bestudeerde code geeft de indruk dat al deze websites door één persoon, of een klein groepje mensen is geschreven, omdat veel van de codefragmenten nagenoeg identiek zijn. Ook de zogenaamde Cascading Style Sheets die zijn gebruikt om de Windows Explorer-look te benaderen zijn bij de verschillende sites gelijk. Veel van de CSS-items hebben ook dezelfde naam.

Stap 3: Nep-resultaten en nep-software
Na de zogenaamde virusscan, worden de zogenaamde resultaten getoond in een scherm, en wordt de ‘oplossing’ gegeven. Bij verdere analyse van de code, komt een evolutie in het ontwerp ervan aan het licht. Waar de scanresultaten van de Windows XP-versies alleen een afbeelding toonden, worden de resultaten van de Windows 7-versies dynamisch gegenereerd met behulp van JavaScript en is er een bepaalde mate van interactie mogelijk. Zo kan het slachtoffer door de resultaten heen scrollen.
 
Stap 4: Poging tot infectie
Na de scan, wordt een programma ter download aangeboden. De website is geconfigureerd op een manier dat het bijna onmogelijk is voor de gebruiker om te weigeren, omdat de ‘Vorige’-knop van de browser wordt uitgeschakeld met behulp van JavaScript. Wanneer het slachtoffer probeert het venster te sluiten, verschijnt de melding opnieuw.
 
Er heeft op dit moment echter nog geen daadwerkelijke infectie plaatsgevonden. Dat gebeurt pas wanneer het programma daadwerkelijk wordt gedownload.

Hoe kan de download worden voorkomen?
Hoewel het niet mogelijk is om de browser op de normale manier te sluiten tijdens dit punt in het proces, kan JavaScript geen acties buiten de browser onderdrukken. Dat betekent dat het wel mogelijk is om de browser met behulp van de Windows Taakbeheer te sluiten. De Windows Taakbeheer kan worden geopend met CTR-ALT-DEL.  Selecteer dan ‘Taakbeheer starten’. Klik vervolgens in de lijst de actieve browser (bijvoorbeeld Firefox, Internet Explorer of Chrome) aan en klik op ‘Beëindig taak’.

Tips om nep-antivirusscanners te ontlopen
• Gebruik een degelijke, betrouwbare antivirusoplossing met up-to-date virushandtekeningen, http-filter, etc. om de pc en alle digitale gegevens te beschermen.
• Download alleen software van de officiële website van de fabrikant van die software, of van een website met een goede reputatie.
• Controleer tijdens het downloaden van software goed het dialoogvenster. Is dit echt de juiste software?
• Zorg ervoor dat de browser en het besturingssysteem van de computer altijd volledig up-to-date zijn.
• Klik niet zomaar op hyperlinks, maar controleer eerst goed naar welke site de link leidt.
• Controleer de spelling, grammatica en typografie van pop-ups. Foutjes en een afwijkend lettertype zijn sterke aanwijzingen voor fraude.
• Waarschuwingen en pop-ups zijn altijd gesteld in de taal van het besturingssysteem. Wie met een Nederlandse Windows-versie werkt, krijgt alleen Nederlandstalige pop-ups van Windows.

Over G Data
G Data Software AG is een security-specialist van Duitse origine. G Data ontwikkelde haar eerste antivirus-programma al in 1987 en was daarmee een pionier in Europa. Kwaliteit is een prioriteit voor de onderneming. Als resultaat hiervan heeft G Data in de afgelopen vijf jaar meer testoverwinningen in Europa behaald dan welke andere aanbieder ook.
G Data is opgericht in 1985. De onderneming biedt oplossingen voor consumenten en voor kleine, middelgrote en grote ondernemingen, die wereldwijd in meer dan 90 landen beschikbaar zijn. Het hoofdkantoor is gevestigd in Bochum (Duitsland). Meer informatie is te vinden op .
Contact
Daniëlle van Leeuwen
PR Manager G Data Benelux
Tel. (+31) (0)20 808 0835
Mob. (+31) (0)6 54 660 215
E-mail:
Twitter: GDataBenelux
Facebook: G Data Benelux
Persinformatie:

 


 

Trefwoorden: Fraude, G Data

Ander nieuws en updates van G Data

30-09-2014

G DATA op InfoSecurity.nl

Op 29 en 30 oktober vindt ’s Nederlands grootste IT-security evenement plaats in de Jaarbeurs in Utrecht: InfoSecurity.nl. G DATA


14-08-2014

Cybercrime: topgames voor 10 euro

De handel in gestolen gamesleutels en prepaid tegoeden floreert


06-08-2014

Reuzendatadiefstal: Zoveel geld levert informatie op

Gestolen gegevens waarschijnlijk meer dan €12 miljoen waard Badhoevedorp, 6 augustus 2014 Onlangs ontdekte het Amerikaanse IT-bedrijf Hold dat er


28-07-2014

Pas op voor gevaarlijke wifi-verbindingen op vakantie

G DATA LEGT GEVAREN VAN WIFI-SPOTS UIT EN GEEFT ADVIES VOOR VERSTANDIG GEBRUIK


16-07-2014

Hotelkluisjes vaak onveilig: inbraak is eenvoudig en skimming-gevaar ligt op de loer

G DATA beveiligingsexperts waarschuwen voor gebrek aan beveiliging voor waardevolle spullen in hotelkluisjes


03-07-2014

G DATA: Eerste steen gelegd voor uitbreiding in Bochum

G DATA: Eerste steen gelegd voor uitbreiding in Bochum Duitse IT-beveiligingspionier koopt historisch pand van het hoofdkantoor en start grootschalig


08-05-2014

Belangrijkste mythe rondom geïnfecteerde PC nog altijd springlevend

Tweederde van de Nederlanders denkt infectie pc zelf op te kunnen merken Badhoevedorp, 8 mei 2014 In 2011 deed de


G Data kiest nieuwe slogan: TRUST IN GERMAN SICHERHEIT van G Data thumbnail
16-04-2014

G Data kiest nieuwe slogan: TRUST IN GERMAN SICHERHEIT

Slogan verwoordt ideaal van compromisloze bescherming zonder achterdeuren Badhoevedorp, 16 april 2014 Vandaag lanceert G Data zijn nieuwe website, compleet


28-02-2014

Uroburos: hoogcomplexe spionagesoftware met Russische wortels

Experts van G Data hebben een zeer complex stuk malware geanalyseerd. Deze malware is ontworpen om vertrouwelijke gegevens te stelen.


17-02-2014

MWC 2014: G Data showt slimme beveiliging voor mobiele apparaten

MobileDeviceManagement, apparaatbeveiliging voor bedrijven en ouderlijk toezicht toegevoegd aan het pakket Badhoevedorp, 17 februari 2014 G Data zal de nieuwste


07-02-2014

Safer Internet Day 2014: Laten we samen een beter internet creëren

G Data roept op tot meer veiligheid op Safer Internet Day 2014 Badhoevedorp, 7 februari 2014 Eén op de drie


Zevende overwinning G Data in vergelijkende test Consumentenbond van G Data thumbnail
20-01-2014

Zevende overwinning G Data in vergelijkende test Consumentenbond

G Data InternetSecurity 2014 als één van de weinige pakketten "zijn geld waard" Badhoevedorp,20 januari 2014 De Consumentenbond geeft niet


Pieten verrassen G Data-resellers met pepernoten en banketletters van G Data thumbnail
05-12-2013

Pieten verrassen G Data-resellers met pepernoten en banketletters

Badhoevedorp, 5 december 2013 De afgelopen dagen zijn zo´n vijfentwintig G Data-resellers in Nederland opgeschrikt door een bezoek van een


Spionneren via de cloud van G Data thumbnail
11-09-2013

Spionneren via de cloud

Cloud-technologieën misbruikt voor fraude met internetbankieren Badhoevedorp, 11 september 2013 Experts van het G Data SecurityLab hebben een nieuwe trend


Eerste hulp voor Android-gebruikers: G Data dicht gevaarlijk gat in mobiel besturingssysteem van G Data thumbnail
17-07-2013

Eerste hulp voor Android-gebruikers: G Data dicht gevaarlijk gat in mobiel besturingssysteem

Duitse IT-beveiliger ontwikkelt oplossing om huidig lek te dichten voor alle Android-gebruikers Badhoevedorp, 17 juli 2013 De recent ontdekte kwetsbaarheid