I truffatori del software di sicurezza fasulli salgono su Conficker

riempito con collegamenti a software di sicurezza fasulli che pretende di rimuovere Conficker, un worm diffuso che è attualmente la minaccia di sicurezza numero uno di Internet, ma non lo fa.

Alcuni termini di ricerca porteranno su un host di pagine Web che potrebbero infettare un PC con software dannoso o tentare di vendere un programma di sicurezza poco affidabile, ha dichiarato Rik Ferguson, senior security advisor per il fornitore Trend Micro.

Ferguson ha detto di aver notato un aumento di questi tipi di siti nell'ultimo giorno circa come altri strumenti software legittimi sono stati rilasciati in grado di rilevare Conficker, che ha infettato tra 3 e 10 milioni di PC in tutto il mondo.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Ad esempio, una ricerca per "N map Conficker "farà apparire risultati malevoli, ha detto Ferguson. Nmap è uno strumento di rete open source che è stato aggiornato per rilevare le infezioni di Conficker. Ferguson ha detto di essere rimasto sorpreso dalla rapidità con cui gli scammer hanno iniziato a manipolare Google con questi termini di ricerca, dato che Nmap è stato aggiornato di recente.

Scammers è il motore di ricerca di Google creando siti Web pieni di termini di ricerca. Un'altra tattica consiste nello spammare i siti Web ad alto traffico che riconducono al loro sito malevolo al fine di attirare il loro sito Web sui ranghi di ricerca.

Google ha combattuto coloro che tentano di manipolare il suo motore di ricerca, ma i truffatori a volte vincono per un po. Ferguson, che ha pubblicato schermate di ricerche che ha fatto lunedì sera tardi, ha detto di aver contattato Google per le sue conclusioni.

I siti Web di software di sicurezza fasulli chiederanno a un utente di scaricare un file che analizza una macchina per malware. Il software di solito dice all'utente che il PC ha software dannoso anche se non è infetto, ha detto Ferguson. Il software metterà quindi in difficoltà l'utente ad acquistare il discutibile programma di sicurezza.

"Una volta scaricato, è estremamente difficile rimuovere quella roba dalla macchina", ha detto Ferguson.

Il fornitore di sicurezza finlandese F-Secure ha ha anche visto una serie di nuove registrazioni di domini per siti Web che vendono software che presumibilmente rimuove Conficker, secondo un blog aziendale.

Uno di quei programmi, chiamato MalwareRemoval Bot, richiede 39,95 USD per rimuovere il malware. Ma non funziona.

"Non rimuove Conficker.C", ha scritto Patrik Runald, responsabile della sicurezza per F-Secure. "Non ha fatto nulla".

Conficker è un worm difficile da rimuovere che ha irritato la comunità della sicurezza. Le versioni del worm si diffondono sfruttando una vulnerabilità nel servizio Microsoft Windows Server, tramite media rimovibili infettati o password deboli per forzatura bruta.

La community di sicurezza si rafforza per mercoledì, quando la variante Conficker.C diventerà attiva. Il worm è programmato con un algoritmo che genererà nomi di dominio casuali. Se uno di questi nomi di dominio è attivo, il worm si collegherà al sito Web e tenterà di scaricare ulteriori istruzioni.

Conficker.C è programmato per generare 50.000 nomi di domini al giorno e tenterà quindi di accedere a 500 di tali nomi per giorno, secondo la società di sicurezza Websense.

Quelli che controllano Conficker devono ancora usarlo per scopi malevoli, ma il vasto numero di macchine che sono infette significa che la botnet potrebbe essere capace di devastanti attacchi denial-of-sevice, campagne di spam o furto di dati diffuso.

Microsoft offre una ricompensa di $ 250.000 per le informazioni che portano all'arresto e alla condanna dei creatori di Conficker.