Gli avvisi di infezione falsi possono essere problemi reali

Michael Vana sapeva che c'era qualcosa quando vide il pop-up di "Antivirus 2009" nel mezzo del suo schermo. L'ex tecnico avionico della Northwest Airlines ha intuito che il terribile avvertimento di un'infezione del sistema era falso, ma quando ha cliccato sulla X per chiudere la finestra, si è espanso per riempire il suo schermo. Per sbarazzarsene, ha dovuto spegnere il PC.

Suona familiare? Trucchi sporchi come questi, progettati per farti installare e acquistare falsi antivirus, sono più comuni che mai. (Per consigli su come procedere se hai installato un antivirus fasullo sul tuo PC, consulta "Antivirus 2009: Come rimuovere il software AV falso.") Ma mentre potresti riconoscere tali avvisi come falsi, potresti non sapere che il falso avviso potrebbe essere un avviso rosso su un'infezione da malware bot sottostante. Conoscere la differenza è fondamentale.

"Non è più qualcosa di cui non si capisce più niente", afferma Christopher Boyd, direttore senior della ricerca malware per la società di sicurezza delle comunicazioni FaceTime Communications, di richieste di aiuto per gestire questi pop-up di avvertimento.

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

L'aumento dell'incidenza di questi pop-up è dovuto a più imbroglioni che cercano denaro facile da programmi di affiliazione loschi, che pagano un enorme taglio dei profitti-- fino al 90 percento - per ogni persona che erroneamente guadagna denaro per un programma falso, indipendentemente da ciò che li ha fatti pagare. Spesso, l'incentivo proviene da un sito Web malevolo che utilizza trucchi JavaScript per sballottare un sacco di pop-up, o anche ridimensionare la finestra del browser dell'utente, per creare qualcosa che assomigli ad una vera scansione antivirus.

Potresti raggiungere tale un sito usando un brutto link di ricerca, come quello che Boyd ha cliccato per un gioco Batman online gratuito. È stato reindirizzato a un sito che ha rilevato il suo browser per visualizzare una falsa scansione AV, che ha poi rilevato (fittizie) infezioni critiche che potrebbero essere risolte acquistando il programma antivirus anomalo.

Se un sito semplicemente dirotta il browser, non si Non preoccuparti troppo: i pop-up o le finte finestre dello scanner non causano danni permanenti, dice Boyd. Potrebbe esserti impedito di chiudere la finestra, come lo era Michael Vana, ma in genere puoi richiamare il Task Manager di Windows con Ctrl-Alt-Delete e chiudere il browser in quel modo. A volte basta premere Alt-F4 per spegnerlo.

"Per fare ciò, [il sito falso] usa il codice reale e generalmente non sfrutta un buco", dice Boyd. Finché non si effettua il pan-ic e non si installa il programma pushed, non si verifica alcun danno reale.

Fake Antivirus basato su bot

Sfortunatamente, l'altro modo in cui si può contrastare un falso programma antivirus è molto peggiore.

Joe Stewart, direttore della ricerca sui malware con SecureWorks, una società di servizi di sicurezza per le aziende, tiene traccia dei malware bot per vivere. I criminali usano computer infettati da bot, talvolta riuniti in enormi reti (chiamate botnet) di centomila o più sistemi, per inviare spam in tutto il mondo. Ma usano anche i bot per scaricare i programmi antivirus illegali e altri malware sul PC di una vittima.

"È un modo comprovato per monetizzare una botnet", afferma Stewart. "Quasi chiunque abbia una botnet già distribuita è potenzialmente alla ricerca di questo come un modo per guadagnare denaro extra."

Secondo Stewart, i truffatori guadagnano quei soldi scaricando qualcuno per scaricare una presunta versione di prova del rogue AV- -consentire una tecnica di vendita del software legittima - o installando il software dietro le quinte con un bot.

Una volta installato, il rogue utilizza in genere tecniche molto aggravanti, come cambiare lo sfondo del desktop di Windows per avvisare di un presunta infezione e visualizzazione di altri avvertimenti costanti, per spingerti ad acquistare la versione completa del software.

Potresti sapere di non scaricare Rogue AV in risposta a un browser pop-up spurioso. Ma quando viene richiesto di scaricarlo da un controller malevolo, un bot nascosto non ti darà mai la possibilità di applicare il tuo buon senso.

Se si seguono le basilari precauzioni di sicurezza, come mantenere aggiornato il software antivirus in buona fede e fare attenzione agli allegati e ai download di e-mail, è possibile ridurre in modo significativo le probabilità di essere infettati da un bot o altro malware. Ma se vedi dei pop-up o altri falsi avvisi da AV rogue sul tuo computer, è una buona idea cercare di determinare se proviene da un sito o da un vero software installato da un bot (o da qualcun altro che usa il PC).

Possibilità infinite

Ci sono molte varianti sulla truffa del software falso, e le tattiche dei criminali variano, quindi non c'è un indicatore universale che sia presente. Ma fai attenzione agli avvisi che persistono dopo aver riavviato il PC, soprattutto se li vedi prima di aprire il browser. La visualizzazione di un'icona di avviso non familiare nella barra delle applicazioni è un altro segno negativo, in particolare se non è possibile fare clic con il pulsante destro del mouse e farlo andare via. E se il tuo sfondo del desktop è cambiato, sei sicuramente infetto da questo falso antivirus, dice Boyd.

Per quanto riguarda la fonte di questa spazzatura, ecco un indizio. Una varietà che Stewart ha esaminato, quindi denominata "Antivirus XP 2008", controllerebbe innanzitutto la configurazione del sistema del PC per verificare se fosse situata in un paese con molti russi etnici. Esaminerebbe anche Internet Explorer dell'utente per le visite alla versione russa di Google. Se dovesse riscontrare una prova del genere, l'installatore si sarebbe immediatamente dimesso senza affliggere la potenziale vittima. Secondo Stewart, questo è "abbastanza per garantire che gli utenti di lingua russa non vedranno mai un'installazione di Antivirus XP 2008". Ma gli utenti di Internet al di fuori dell'ex blocco dell'Est dovrebbero stare attenti.