Fake Security Software Scammers Hoppa på Conficker

Googles sökrankningar är fylld med länkar till falsk säkerhetsprogramvara som avser att avlägsna Conficker, en utbredd mask som för närvarande är Internetets nummer ett säkerhetshot, men det gör det inte.

Vissa sökord kommer att ge upp en mängd webbsidor som antingen kan infektera en dator med skadlig programvara eller försök att sälja ett tvivelaktigt säkerhetsprogram, säger Rik Ferguson, senior säkerhetsrådgivare för leverantören Trend Micro.

Ferguson sa att han märkte en uppblåsning i dessa typer av webbplatser under den sista dagen eller så som andra legitima mjukvaruverktyg har släppts som kan upptäcka Conficker, som har infekterat mellan 3 miljoner och 10 miljoner datorer över hela världen.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Till exempel söker en sökning efter "N karta Conficker "kommer att ge upphov till skadliga resultat, sade Ferguson. Nmap är ett verktyg för öppen källkod som har uppgraderats för att upptäcka Conficker-infektioner. Ferguson sa att han var förvånad över hur snabbt svindlarna började manipulera Google med de sökord som Nmap just uppgraderades.

Scammers-spel Googles sökmotor genom att skapa webbplatser som är fulla av söktermer, säger Fergusons. En annan taktik spammar högtrafikwebbplatser som leder tillbaka till deras skadliga webbplats för att driva sin webbplats upp i sökorden.

Google har kämpat dem som försöker manipulera sin sökmotor, men svindlarna vinner ibland ett tag. Ferguson, som skickade skärmdumpar av sökningar som han gjorde sent på måndagskvällen, sa att han har kontaktat Google om hans resultat.

Webbplatserna för falska säkerhetsprogram kommer att be en användare att ladda ner en fil som skannar en maskin för skadlig programvara. Programvaran berättar vanligtvis användaren att datorn har skadlig programvara, även om den inte är infekterad, sade Ferguson. Programvaran kommer då att dämpa användaren att köpa det ifrågasatta säkerhetsprogrammet. "När du har laddat ner det är det extremt svårt att få den grejen från din maskin", säger Ferguson.

Finlands säkerhetsleverantör F-Secure har har också sett ett antal nya domänregistreringar för webbplatser som säljer programvara som förmodligen tar bort Conficker, enligt en företagsblogg.

Ett av de program som heter MalwareRemoval Bot kräver 39,95 USD för att ta bort skadlig kod. Men det fungerar inte.

"Det tar inte bort Conficker.C", skrev Patrik Runald, säkerhetsansvarig för F-Secure. "Det gjorde ingenting."

Conficker är en svår att ta bort mask som har skadat säkerhetsgemenskapen. Versioner av masken spridas genom att utnyttja en sårbarhet i Microsoft Windows Server-tjänsten, genom smittade flyttbara media eller brutna-tvingande svaga lösenord.

Säkerhetssamhället sätter sig fast för onsdagen då Conficker.C-varianten blir aktiv. Ormen programmeras med en algoritm som genererar slumpmässiga domännamn. Om ett av domännamnen är live kommer ormen att gå till webbplatsen och försöka ladda ner ytterligare instruktioner.

Conficker.C är programmerad att generera 50 000 domännamn om dagen och försöker sedan få åtkomst till 500 av dessa namn per Dag, enligt säkerhetsföretaget Websense.

De som kontrollerar Conficker har ännu inte använt det för skadliga ändamål, men det stora antalet maskiner som är smittade innebär att botnet skulle kunna förödiga attacker mot avlyssningar, spamkampanjer eller utbredd data stöld.

Microsoft erbjuder ett belopp på 250 000 $ för information som leder till gripandet och övertygelsen av Conficker skapare.