Fake Antivirus Peddlers hjälpte av Microsoft, IRS

Grafiska: Diego AguirreJust några veckor efter att US Federal Trade Commission stängde ned två företag som anklagades för att sälja falskt antivirusprogram, har en ny spelare flyttat in på marknaden, med hjälp av glitches på webbplatserna Microsoft och US Internal Revenue Service.

Över de senaste fyra dagarna har svindlarna använt så kallade omdirigeringslänkar på webbplatser som tillhör tidningar, universitet och mest anmärkningsvärda domänerna Microsoft.com och IRS.gov, säger Gary Warner, forskningsdirektör i datorteknik med University of Alabama i Birmingham, som först rapporterade aktiviteten på sin blogg tisdag.

Många webbplatser använder omdirigeringslänkar för att ta besökare bort från webbplatsen, även om webbplatsoperatörerna försöker stoppa dem från att missbrukas av svindlarna. Till exempel använder Google URL //www.google.com/search?q=idg&btnI=3564 Googles funktion "Jag känner mig lycklig" för att skicka webbsurfare till IDG.com.

[Vidare läsning: Hur att ta bort skadlig kod från din Windows-dator]

Om brottslingar kan använda en omdirigerare på en större webbplats som Microsoft.com eller IRS.gov, kan de göra att deras skadliga länkar dyker upp mycket högt i Googles sökresultat, sa Warner i en intervju.

"Microsoft är en supermäktig webbplats vad gäller sökmotorens vikt," sa han.

De dåliga killarna har lurat sökmotorer för att återvända sina skadliga länkar till tiotusentals söktermer, Sade Warner. De har gjort det genom att använda speciell programvara för att lägga till dessa omdirigeringslänkar till "tiotusentals bloggkommentarer, gästbokposter och fantasifulla blogshistorier runt om i världen", säger Warner i sin bloggpost.

Du kan se resultat av denna aktivitet. En Google-sökning efter termen "Microsoft Office 2002-nedladdning" ger en omdirigeringslänk från Microsoft.com som sitt första resultat. Den här länken hade omdirigerats besökare till en skadlig webbplats som lanserade webbaserad attackkod mot offer och försökte lura dem för att ladda ner falskt antivirusprogram, sa Warner. Vid tisdagskvällen hade Microsoft löst problemet, så Microsoft.com-länken som dyker upp i google-sökresultaten tog inte längre surfare till den skadliga webbplatsen.

IRS har nu tagit upp frågan, men ca 20 Andra webbplatser är fortfarande ett problem Warner sa.

Den falska antivirusprogramvaran, även kallad "scareware", installerar en keylogger på offrets dator, förmodligen att stjäla inloggningsnamn och lösenord och startar även falska varnings popup-fönster på varje webbsida som offerbesök berätta för honom att han behöver köpa antivirusprogram, kallad System Security. Priset för den falska produkten? En trovärdig $ 51,45.

FTC uppskattar att 1 miljon konsumenter har tagits in av andra falska antivirusprodukter som går under namn som WinFixer, WinAntivirus, DriveCleaner, ErrorSafe och XP Antivirus. Den 10 december beställde en federal domstol två företag, Innovative Marketing och ByteHosting Internet Services, för att sluta marknadsföra dessa produkter.

Warner vet inte vem som står bakom System Security, men han tror att bedrägerierna bakom denna senaste operation kan vara ansluten till de tidigare bedrägerierna. "Det är tillräckligt för att det måste vara någon som har ett förhållande till den sista gruppen", sa han.