Kaspersky Lab, azienda specializzata in soluzioni per la sicurezza informatica, annuncia la pubblicazione di un articolo tecnico dal titolo “I Falsi Alleati”. L’autore, Vyacheslav Zakorzhevsky, è Senior Malware Analyst del team di Kaspersky Lab che si occupa dell’analisi euristica dei malware.
Negli ultimi due anni abbiamo parlato spesso di quei programmi che dicono di fare una cosa, e poi ne fanno un’altra. I più noti tra loro sono senza dubbio i falsi antivirus, che avvisano l’utente della presenza di virus o malware nel computer, ma in realtà non individuano (né rimuovono) un bel niente.
Hanno infatti un’altra funzione: convincere l’utente della presenza di inesistenti minacce per il computer e spingerlo a pagare per l’attivazione di un "programma antivirus". Questo tipo di programma, secondo la classificazione di Kaspersky Lab, si chiama FraudTool e appartiene alla classe dei RiskWare.
La finestra principale di FraudTool.Win32.SpywareProtect2009
Si tratta di programmi molto diffusi, e la loro popolarità tra i truffatori è in continua crescita. Mentre nella prima metà del 2008 gli specialisti di Kaspersky Lab avevano individuato circa tremila falsi antivirus, nello stesso periodo del 2009 la cifra è lievitata fino a raggiungere i 20.000 esemplari.
I metodi principali di diffusione
Per cominciare diamo un’occhiata al modo in cui i falsi antivirus finiscono nel computer dell’utente-vittima. Per la diffusione utilizzano certamente gli stessi metodi della maggior parte dei malware, ad esempio il download all’insaputa dell’utente, con l’aiuto di Trojan-Downloader, e lo sfruttamento di vulnerabilità di siti compromessi/infetti.
Ma non è tutto qui: molto spesso è proprio l’utente a scaricare sul proprio computer FraudTool. Per ottenere questo scopo, i cybercriminali utilizzano programmi speciali (Hoax) e pubblicità su Internet.
Hoax è un altro dei tanti programmi truffa: la sua principale funzione è convincere l’utente della necessità di scaricare un antivirus "magico" per risolvere i problemi, ma anche di installare il programma fittizio nel sistema (anche se l’utente dovesse rifiutarsi di farlo!).
Gli Hoax si scaricano sui computer principalmente grazie all’aiuto dei backdoor oppure sfruttando le vulnerabilità del sito. Dopo l’installazione del programma compare una finestra che informa l’utente della presenza di molti errori nel sistema, o del fatto che il registro è stato danneggiato oppure ancora che qualcuno si sta impossessando dei suoi dati riservati.
Finestra visualizzata da Hoax.Win32.Fera sullo schermo del computer
Questa schermata mostra un falso avviso di possibile infezione del computer da parte di spyware, e richiede l’installazione di uno “spyware remover”. Indipendentemente dalla risposta dell’utente, il programma procede con l’installazione di FraudTool.
Per la diffusione dei falsi antivirus i truffatori utilizzano anche le pubblicità su Internet. Al giorno d’oggi la gran parte dei siti usa banner informativi che parlano di nuovi prodotti antivirus, vere bacchette magiche capaci di risolvere una miriade di problemi.
Va detto però che anche in numerose risorse Web non illegali e ad alto livello di affidabilità è possibile trovare banner lampeggianti o pubblicità Flash dei “nuovi antivirus”, e capita anche spesso che durante la navigazione in Internet appaiano pop-up che offrono la possibilità di scaricare gratuitamente un nuovo antivirus, come nella schermata che vi mostriamo di seguito.
Finestra visualizzata dal browser Opera sullo schermo del computer
Di regola, queste finestre non offrono alcuna scelta all’utente, ma contengono solo il pulsante «OK» o «YES». Ma anche in quei casi in cui apparentemente viene offerta una scelta, il falso antivirus viene installato comunque, indipendentemente dal tasto premuto dall’utente.
Di recente gli specialisti di Kaspersky Lab hanno identificato la procedura di download dinamico del falso antivirus. In un indirizzo, ad esempio ********.net/online-j49/yornt.html, viene collocato uno script che al successivo passaggio genera un indirizzo del tipo
http://******.mainsfile.com.com/index.html?Ref=’+encodeURIComponent(document.referrer).
L’indirizzo generato dipende dal sito da cui proviene l’utente prima di raggiungere la pagina con lo script (ciò è possibile grazie alla funzione document.referer). Nel nostro caso l’accesso è stato effettuato da http://easyincomeprotection.cn/installer_90001.exe, dove gli specialisti di Kaspersky Lab hanno individuato il nuovo antivirus falso FraudTool.Win32.AntivirusPlus.kv.
La diffusione dinamica permette ai cybercriminali di nascondere l’indirizzo IP della pagina da cui vengono scaricati i malware, ostacolando così la ricezione dei file dal produttore degli antivirus e, di conseguenza, la loro individuazione. Questo tipo di diffusione è utilizzato anche da molti worm e virus.
Ad esempio il worm Internet Net-Worm.Win32.Kido.js, da cui poi sono stati sviluppati intere botnet, utilizza la tecnologia DDNS, e inoltre scarica e installa sul sistema il falso antivirus FraudTool.Win32.SpywareProtect2009.s. Ciò dimostra che, molto probabilmente, lo stesso gruppo di autori di virus che sviluppa i worm Internet si occupa anche di falsi antivirus, questo perché i primi vengono utilizzati per spianare la strada all’installazione dei secondi.
Obiettivo: seminare il panico
Abbiamo chiarito come fanno i falsi antivirus ad arrivare nel sistema. Resta da stabilire cosa fanno realmente dopo l’installazione.
Prima di tutto c’è la scansione del sistema. Durante la scansione il falso antivirus invia una sequenza di messaggi pensata in modo geniale, ad esempio: errore di Windows, individuazione di un malware, necessità di installare un antivirus. A volte, per illudere l’utente in modo convincente dell’efficacia del programma, insieme al falso antivirus viene installato anche un file speciale che viene poi rilevato durante la "scansione".
Il falso antivirus si offre di correggere tutti gli eventuali errori rilevati e di rimettere a posto il sistema… ma a pagamento! Tanto più l’imitazione di un autentico e legale software antivirus è ben realizzata, tanto maggiori saranno le possibilità, per i truffatori, di venire effettivamente retribuiti per il "lavoro" dello pseudo-antivirus.
Vediamo ad esempio come funzionano FraudTool.Win32.DoctorAntivirus e FraudTool.Win32.SmartAntivirus2009. Le seguenti schermate mostrano chiaramente come tali malware rilevino problemi che non esistono in Windows XP Professional Service Pack 2, e addirittura chiedano di pagare per l’attivazione del prodotto.
DoctorAntivirus, ad esempio, ha trovato 40 backdoor, Trojan e spyware e ci ha avvisato che la loro presenza poteva causare errori di sistema. Un programma simile, SmartAntivirus2009, ha individuato ancora più problemi oltre a segnalarne la pericolosità.
Risultati della "scansione" del sistema da parte dei falsi antivirus DoctorAntivirus 2008 (a sinistra) e Smart Antivirus 2009 (a destra)
In entrambi i casi, se si preme il pulsante di rimozione delle minacce compare una finestra che propone l’acquisto di un altro prodotto fittizio. Se l’utente decide di acquistare il presunto "antivirus", gli verranno offerte diverse modalità di pagamento: PayPal, American Express e così via. Dopo il pagamento l’utente riceve il codice per la registrazione e, per non suscitare sospetti, entrambi i programmi verificano che il codice di registrazione usato dall’utente sia corretto e rifiutano eventuali codici immessi a caso.
La proposta di attivazione di FraudTool.Win32.DoctorAntivirus (a sinistra) e FraudTool.Win32.SmartAntivirus 2009 (a destra)
È evidente che le finestre di attivazione di DoctorAntivirus e di SmartAntivirus2009 sono praticamente identiche. Questo ci fa pensare che gli sviluppatori di programmi di questo tipo probabilmente utilizzano un generatore di codice, che modifica solo alcune stringhe e gli stili delle finestre lasciando tutto il resto uguale.
Di regola l’avviso della necessità di pagare per la scansione viene inviato sotto forma di richiesta di attivazione di una versione di prova, come nella schermata riportata qui di seguito. All’utente inoltre viene promesso un prodotto di alta qualità, corredato di assistenza tecnica post "attivazione".
Finestra con offerta di attivazione di un falso antivirus, generata da FraudTool.Win32.AntiMalware2009
La schermata successiva mostra una finestra con l’offerta di attivazione di Smart-Anti-Spyware, da cui si deduce chiaramente l’origine russa del prodotto offerto. Decisamente interessante la modalità di pagamento: SMS a un numero breve (a pagamento). È opportuno ricordare che l’estorsione di denaro agli utenti per mezzo dell’invio di un SMS a un numero breve è pratica comune nei diversi sistemi di truffa informatica usati nell’Internet russa.
.jpg)
Smart- Anti-Spyware: il miglior alleato di ogni utente!
Per riparare tutto ciò che non va nel computer e ottimizzarne il funzionamento, è necessario acquistare la versione completa. Per acquistare, invia un SMS con il testo “+q007” al numero 1171. Immettere il codice che verrà visualizzato nel seguente form:
Ripara e ottimizza.
La catena di montaggio
Come visto in precedenza, l’aspetto esteriore e le strutture di alcune finestre generate da falsi antivirus distinti sono in realtà praticamente identiche tra loro. È probabile quindi che gli autori di questi tipi di programmi utilizzino lo stesso generatore di codice per svilupparli.
È importante notare che per contrastare gli veri antivirus, quelli falsi si avvalgono degli stessi meccanismi utilizzati in diversi worm e virus polimorfi, ovvero: con la cifratura dei dati nascondono le parti principali del programma che, di solito, contengono link e stringhe in bella vista. Per far funzionare il programma, nel file viene nascosto un codice dinamico che, prima di iniziare a svolgere le sue funzioni principali, decifra le parti di codice.
Facciamo degli esempi osservando due tipici falsi antivirus: FraudTool.Win32.MSAntivirus.cg e FraudTool.Win32.MSAntispyware2009.a. Si tratta dei rappresentanti di due distinte famiglie di malware che però utilizzano come difesa analoghi sistemi polimorfi di decrittazione. Di seguito sono riportati alcuni frammenti dei file di entrambi i FraudTool che contengono i decodificatori: la struttura dei due file è identica.
Frammento del decrittatore polimorfo FraudTool.Win32.MSAntivirus.cg
Frammento del decrittatore polimorfo FraudTool.Win32.MSAntispyware2009.a
L’utilizzo di sistemi già pronti permette di generare una grande quantità di programmi dello stesso tipo con un dispendio di tempo minimo, nonché di aggirare i sistemi classici di individuazione degli antivirus (firme). Oggi i nuovi falsi antivirus vengono sfornati a ciclo continuo, e l’evoluzione di FraudTool è orientata a verso una maggiore complessità del programma, per complicare la vita agli antivirus che cercano di identificarlo usando la firma.
Statistiche fin troppo chiare
È facile notare come il 2007 sia stato interessato da una crescita dei falsi antivirus.
Quantità di nuove firme che identificano i falsi antivirus, dal 2007 al 2009.
Come mostra il grafico, la crescita principale del numero di firme dei falsi antivirus è avvenuta nella prima metà del 2008, seguita però da un rallentamento già alla fine dello stesso anno. Viceversa, a maggio 2009 si è verificata una vera e propria esplosione nel numero di nuove firme.
Il notevole aumento di popolarità dei falsi antivirus è dovuto innanzitutto alla facilità con cui è possibile svilupparli, ma anche agli efficaci sistemi di diffusione e crescita e ai notevoli guadagni che i truffatori ottengono in brevissimo tempo da questi prodotti.
Oggi negli archivi di Kaspersky Lab ci sono 318 diverse famiglie di falsi antivirus. La tabella seguente rappresenta la prima Top 20 delle famiglie più popolari di questi prodotti, quelle che dal 2007 hanno generato il maggior numero di firme di identificazione. Le prime cinque famiglie, da sole, riuniscono il 51,69% di tutte le firme per l’individuazione di FraudTool. I programmi di questo tipo portano sempre il nome dell’antivirus che imitano.
Nome famiglia Quantità firme not-a-virus:FraudTool.Win32.SpywareGuard2008 4652 not-a-virus:FraudTool.Win32.XPAntivirus 4519 not-a-virus:FraudTool.Win32.SystemSecurity 2090 not-a-virus:FraudTool.Win32.XpPoliceAntivirus 1950 not-a-virus:FraudTool.Win32.AwolaAntiSpyware 1370 not-a-virus:FraudTool.Win32.PC-AntiSpy 1356 not-a-virus:FraudTool.Win32.VirusIsolator 1134 not-a-virus:FraudTool.Win32.WinSpywareProtect 855 not-a-virus:FraudTool.Win32.SpyNoMore 758 not-a-virus:FraudTool.Win32.Agent 575 not-a-virus:FraudTool.Win32.AntivirusXPPro 434 not-a-virus:FraudTool.Win32.AntiVirusPro 374 not-a-virus:FraudTool.Win32.AntiSpyware 344 not-a-virus:FraudTool.Win32.AntivirusPlus 338 not-a-virus:FraudTool.Win32.SpywareStop 312 not-a-virus:FraudTool.Win32.WinAntiVirus 278 not-a-virus:FraudTool.Win32.Antivirus2009 227 not-a-virus:FraudTool.Win32.BachKhoa 224 not-a-virus:FraudTool.Win32.AdvancedAntivirus 223 not-a-virus:FraudTool.Win32.BestSeller 214 not-a-virus:FraudTool.Win32.AntiSpywareBot 206 .jpg)
Percentuale di nuove firme che identificano Hoax e FraudTool, rispetto al numero complessivo di firme del mese, 2007-2009.
Questo grafico mostra che le firme dei programmi pensati per truffare gli utenti, in linea di massima, non crescono in proporzione al numero complessivo degli oggetti individuati, ma proprio in proporzione all’aumento della popolarità dei vari antivirus falsi.
Oggi la comparsa di nuovi antivirus falsi è divenuta un evento piuttosto comune: ogni giorno Kaspersky Lab individua tra 10 e 20 nuovi programmi collegati a Hoax o a FraudTool. Un fatto del genere, anche solo due o tre anni fa, sarebbe sembrato impossibile: allora i nuovi malware appartenenti a uno di quei due tipi comparivano circa una volta ogni due giorni.
Metodi di difesa
Anche se l’infezione del computer da parte di un antivirus falso di per sé non danneggia il sistema, grazie ad essa i truffatori possono estorcere denaro agli utenti meno smaliziati. L’interfaccia chiara e d’effetto, la vasta gamma di messaggi che seminano il panico da virus e gli inviti all’acquisto del "prodotto" possono facilmente ingannare e spingere a regalare soldi ai truffatori. Per proteggersi adeguatamente è necessario ricordare alcune semplici regole.
Se nel proprio computer si attiva un antivirus sconosciuto, occorre studiarlo con attenzione, verificando che l’assistenza tecnica sia effettivamente disponibile e andando a controllare sul sito ufficiale. Se ciò non da esiti soddisfacenti, si a che fare con un programma falso.
Inoltre, occorre ricordare che nessun vero programma anti-malware prima scansiona il computer e poi chiede soldi per attivarsi. Se ci si imbatte in un programma antivirus sconosciuto che si comporta in questo modo, NON pagare per utilizzarlo! Occorre invece installare un antivirus di marca conosciuta e di propria scelta, e sbarazzarsi delle minacce al proprio computer.
Bisogna prestare attenzione solo ai messaggi provenienti dall’antivirus installato, e non a tutte le finestre contenenti messaggi di infezione del computer, le quali possono apparire visitando alcuni siti.
Inoltre, è importante non posizionare il mouse sulle varie finestre che compaiono, anche nei casi in cui riescano a superare le difese del browser o quelle del pacchetto di Internet Security. Con questi semplici accorgimenti impedirete al 99% dei falsi antivirus di accedere al vostro computer.
Conclusioni
Purtroppo la popolarità dei programmi pensati per truffare gli utenti è in continua crescita. Oggi non abbiamo più a che fare con un unico programma, ma con una nuova generazione di codici prodotti in continuazione. Si tratta di un tipo di programmi truffa che cresce e si evolve sotto tutti gli aspetti, a partire dalla scala e dalle tecniche di diffusione, per finire con le tecniche di aggiramento degli antivirus.
È prevedibile che l’evoluzione futura dei falsi antivirus riguarderà proprio i metodi per ingannare gli antivirus veri e propri. La quantità complessiva di programmi, quasi certamente, aumenterà insieme agli utenti raggirati. In futuro ci troveremo ancora ad occuparci di nuovi ed interessanti rappresentanti della categoria dei programmi truffa.
La crescente popolarità dei falsi antivirus fa pensare che siano un sistema molto redditizio per i truffatori. E quanto più i truffatori riescono a spaventare gli utenti, tanto più facilmente riusciranno ad estorcere loro denaro. Permetteteci, ancora una volta, di consigliarvi di installare un buon programma antivirus, legale ovviamente. In tal modo sarete sicuri di difendere il vostro computer e di non buttare via i soldi.
