谷歌公司最近的一份报告显示,一种安装虚假杀毒软件的恶意软件的数量在显著增加。同时,试图给不知情的访问者强行植入恶意软件的恶意网页数量也在增加。微软公司的数据也证明了这些发现,在2009年下半年,他们的安全产品清除了780万个与虚假杀毒软件相关的恶意软件,而在今年上半年,这种恶意软件数量上升了46.5%。
虚假杀毒软件的散布人员依靠网上的广告来误导用户,让用户以为自己的计算机感染了病毒而感到害怕,同时还为用户提供一个可以进行恶意软件扫描的免费软件下载。这种恶意软件(通常叫做恐吓软件)有着非常高的感染率,因为它使用了一种社交工程技术来诱骗用户进行安装,或者更糟的是,诱骗用户使用他们的信用卡详细信息去支付一个毫无价值的费用。讽刺的是,攻击人员一直是在利用因特网用户日益增强的保护意识(保护自己计算机的安全)来传播虚假杀毒软件以及其他的恶意软件程序,比如说Storm Trojan。
社交工程攻击利用各种心理触发(比如说贪婪、害怕或者好奇)来促使或者诱使人们忽略常识,违反安全规则。尽管这些攻击中使用的这些社交工程方法都相当简单,但是攻击者却使用更先进的方法来传送他们的广告,防御他们的恶意软件传播网络。举个例子,《纽约时报》的读者去年就成为了攻击者的目标,攻击者最初的身份是因特网电话供应商Vonage Holdings公司。攻击人员最初在网站上付费播出的广告并没有病毒,但是后来却转变成一个警告《纽约时报》读者他们的计算机可能感染病毒的广告。点击那个链接就把访问者引至一个销售杀毒软件的网站。在如此高知名度的网站上付费做广告,黑客们取得了大家的尊敬和信任。
真正的杀毒软件正在努力想办法查杀这些虚假杀毒软件。创建虚假杀毒软件程序的诈骗人员通常资源丰富、精通IT,他们在每个安装过程中使用各种各样的打包机以及多种形态,以逃避以签字为基础的监测过程。他们还大大增加那些试图下载他们的恶意软件的网页数量,超越了正规杀毒软件程序更新黑名单以及恶意软件监测签名的能力,减少了他们被监测到的机会。
把这些恶意网站列入黑名单越来越难的一个原因是因为攻击者使用的是domain rotation技术。攻击者对被感染的专用网站或者合法网站进行设置,让它们把网络流量转送到另外一个中间网站,然后这个中间网站再把网络流量转送到攻击者的服务器上。
除了成功下载恶意软件以外,这些恶意程序的另外一个恶作剧是:不管你点击“是”、“否”、还是“取消”来关闭弹出的警告对话框,对话框都不会消失。(在这种情况下,请指导用户按Ctrl+Alt+Delete键,启动Windows任务管理器。然后,终止浏览器进程——iexplore.exe,firefox.exe——而且,当重新启动时,如果浏览器有提示也不要恢复原来的浏览器会话)。如果你认为你的计算机可能感染了病毒,那么请断开网络,用你电脑上原来的杀毒软件进行一次系统扫描。如果你发现杀毒软件无法更新,那么恶意软件可能阻断了杀毒软件对更新文件的访问。像Symantec.com和Microsoft.com这样的网站通常会发布免费的建议,告诉大家怎样根据电脑出现的具体症状来清除某种恶意软件。
防御虚假杀毒软件的最好方法是为员工制定一个安全意识培训计划:让员工有所准备,更好地处理社交工程攻击很重要。如果你以现场为基础,用员工可能碰到的实际例子进行培训,那么你可以让他们有能力抵抗社交工程攻击中常用的心理触发,让他们不容易被欺骗,更好的应对攻击、不去违反安全政策。用简单的安全标语警告大家不要点击那些弹出的对话框和广告非常有效,并能够让用户意识到危险所在。如果用户试图访问一个网站,大多数杀毒软件程序都会对它认为含有恶意代码的网站显示一个警告,用户应该知道他们不能忽视或者不顾这些警告;不幸的是,杀毒软件系统本身无法设定这种不允许忽视警告选项。
应该明确的是,在培训过程中企业所有的计算机都已经安装好了杀毒软件以及反恶意软件工具,IT部门要专门负责这个保护过程:用户不需要自己动手。另外,请确保用户登录时不会拥有管理权限,这样做可以防止他们安装不必要的程序。此外,尽管告诉用户关闭弹出的对话框——就像告诉他们开启或者关闭任何安全设置一样——似乎是一个好主意,但是这样做往往困难重重。我会尽量避免这样做。
你还需要一个明确定义的安全事件处理过程,员工一旦怀疑事情不对头就能尽快地进行处理。如果有人担心他的计算机行为的任何一个方面有问题,或许是多次提示或者运行缓慢,那么他就应该向IT部门报告。这个过程还应该规定,当一个新的诈骗软件被发现后,员工应该主动告知其他的用户,从而加强你一直在推行的最佳实践。