Felaktiga infektionsvarningar kan vara verkliga problem

Michael Vana visste att något var uppe när han såg popupen från "Antivirus 2009" mitt på skärmen. Den tidigare Northwest Airlines avioniktekniker gissade att den brådskande varningen för en systeminfektion var falsk, men när han klickade på X för att stänga fönstret expanderade den för att fylla sin skärm. För att bli av med det, måste han stänga av sin dator.

Ljudkänt? Smutsiga tricks som dessa, utformade för att få dig att installera och köpa falska antivirusprodukter, är vanligare än någonsin. (För råd om hur du fortsätter om du har installerat ett falskt antivirusprogram på din dator, se "Antivirus 2009: Så här tar du bort falsk AV-programvara.") Men medan du kanske känner igen sådana varningar som falska kanske du inte vet att den falska varning kan vara en röd alert om en underliggande bot malware infektion. Att veta skillnaden är nyckeln.

"Det är inte något som du ens blinkar längre", säger Christopher Boyd, senior chef för malwareforskning för kommunikationssäkerhetsbolaget FaceTime Communications, om begäran om hjälp vid hanteringen av dessa varnings popup-fönster.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Den ökade förekomsten av dessa popup-fönster beror på fler skurkar som går efter enkla pengar från skuggiga affiliateprogram, vilket betalar en stor del av vinsten - upp till 90 procent - för varje person som felaktigt gafflar över pengar för ett falskt program, oavsett vad som orsakade dem att betala. Ofta kommer induceringen från en skadlig webbplats som använder JavaScript-trick för att kasta upp en massa popup-fönster, eller till och med ändra storlek på tittarens webbläsarfönster, för att skapa något som ser ut som en riktig antivirusskanning.

Du kan nå sådana en webbplats med hjälp av en dålig söklänk, som den som Boyd klickade på för ett gratis online Batman-spel. Han blev omdirigerad till en webbplats som tog över sin webbläsare för att visa en falsk AV-skanning, som sedan hittade (fiktiva) kritiska infektioner som kunde åtgärdas genom att köpa det skumma antivirusprogrammet.

Om en webbplats bara kapar din webbläsare, don Du behöver inte oroa dig för mycket: Popup-fönster eller falska skannerfönster leder inte till skador, säger Boyd. Du kan förhindras att stänga fönstret, som Michael Vana var, men du kan oftast ta upp Windows Task Manager med Ctrl-Alt-Delete och stänga webbläsaren på så sätt. Ibland kommer bara att slå Alt-F4 att stänga av det.

"För att göra detta använder [den falska platsen] riktig kod, och brukar inte utnyttja ett hål i allmänhet", säger Boyd. Så länge du inte panic och installera det skjutna programmet, inträffar ingen verklig skada.

Bot-Based Fake Antivirus

Tyvärr kan du motverka ett falskt antivirusprogram tyvärr.

Joe Stewart, en chef för skadlig kodforskning med SecureWorks, ett säkerhetsföretag för företag, spårar bot malware för att leva. Kriminella använder botinfekterade datorer, som ibland samlas in i stora nätverk (kallas botnets) på hundra tusen eller fler system för att skicka spam över hela världen. Men de använder också bots för att ladda ner rogue antivirusprogram och annan skadlig kod på ett offerdatas PC.

"Det är ett bevisat sätt att tjäna pengar på en botnet", säger Stewart. "Bara om någon med en redan deployerad botnet kan potentiellt titta på detta som ett sätt att tjäna extra pengar." Enligt Stewart gör skurkarna pengarna antingen genom att få någon att ladda ner en antagen försöksversion av den skurkliga AV- -co-välja en legitim mjukvaruförsäljningsteknik - eller genom att installera den här programvaran bakom kulisserna med en bot.

En gång installerat använder skurken vanligtvis mycket försvårande tekniker, till exempel att ändra skrivbordsunderlaget i Windows för att varna för en antas infektion och visar konstanta andra varningar, för att driva dig för att köpa hela versionen av programvaran.

Du kanske vet att du inte laddar ner rogue AV på grund av en falsk webbläsare popup. Men när du är instruerad att ladda ner den av en skadlig controller, kommer en dold bot aldrig att ge dig chansen att tillämpa din goda känsla.

Om du följer grundläggande säkerhetsåtgärder, till exempel att hålla din bona fide antivirusprogram uppdaterad och vara försiktig med bilagor och nedladdningar av e-post, kan du avsevärt minska oddsen för att bli smittad med en bot eller annan skadlig kod. Men om du ser popup-fönster eller andra falska varningar från rogue AV på din dator, är det en bra idé att försöka avgöra om det kommer från en webbplats eller från en verklig programvara installerad av en bot (eller av någon annan som använder datorn).

Möjligheter Ändlös

Det finns många variationer på falsk programvarusömning, och skurkarens taktik varierar, så det finns ingen universell indikator att man är närvarande. Men se upp för varningar som kvarstår efter att du startat om datorn, särskilt om du ser dem innan du öppnar din webbläsare. Att se en obekant varningsikon i systemfältet är ett annat dåligt tecken, särskilt om du inte kan högerklicka på det och göra det gå iväg. Och om din skrivbordsbakgrund har förändrats, är du definitivt smittad med det rogue-antivirusprogrammet, säger Boyd.

Vad gäller källan till detta skräp, här är en ledtråd. En sort som Stewart undersökte, då kallade "Antivirus XP 2008", skulle först kontrollera PC: s systemkonfiguration för att se om den var belägen i ett land med många etniska ryssar. Det skulle också undersöka användarens Internet Explorer för besök på den ryska versionen av Google. Om det stöter på sådant bevis skulle installationsprogrammet omedelbart sluta utan att drabbas av det potentiella offeret. Enligt Stewart är det tillräckligt att garantera att rysktalande användare aldrig kommer att se en antivirus XP 2008-installation. Men Internetanvändare utanför den tidigare Eastern Bloc hade bättre koll på.