熊猫安全:假冒杀毒软件收入数亿美元

假冒杀毒软件最早出现在2006年,但其中超过40%是在2010年新出现的。在过去的16个月里,Google发现有1万多个域名参与了发布假冒的杀毒软件。美国联邦调查局(FBI)互联网犯罪投诉中心在发布的警告中称,诈骗分子利用假冒的杀毒软件已经获取了1.5亿多美元的非法收入。熊猫实验室(Pandalabs)进行的一项研究表明,如今这个数字已经被刷新为4.15亿美元。

黑色链条日渐完善

目前,国际上已经形成了一个有关信息安全的颇具规模的“黑市”,这一“网络黑市”在经济利益的驱使下,对现代企业的在线业务已经构成了巨大的威胁。

在这个逐渐完善的黑色链条上,犯罪分子不再是散兵游勇,而是有着明确的组织和分工。网络黑社会具有极高的组织和运营方面的战略眼光、逻辑思维和执行能力,他们不仅仅以公司方式运营,更是一个全球化的跨国集团。

FBI的数据显示,网络犯罪集团的运作方式就像公司一样严格,每个人都有自己的分工和岗位,虽然这些人员分工不同,但都具有同一个目的,就是涉及网络犯罪的业务,并试图通过网上盗窃、在线勒索和网络诈骗来获取利润。

网络犯罪组织的负责人通过与程序员以及黑客签约,让他们编制恶意软件(例如:假冒杀毒软件、木马、网络钓鱼、僵尸网络、垃圾邮件等),这些恶意软件通过电子邮件和社交网络进行传播(Facebook、YouTube、MySpace、Twitter等)来感染目标企业用户。一旦用户感染了该恶意软件,用户的机密数据就会被窃取,敏感信息会被存储在黑客的服务器上出售。

由于假冒杀毒软件的复杂性,社会工程技术是它成功传播的基础。事实表明,越来越多的用户成为这个骗局受害者。到目前为止,全球46.8%的电脑已感染各种形式的恶意软件,5.40%已被假冒杀毒软件感染。

黑客一方面以销售假冒杀毒软件的许可证从每个受害者那里赚钱,另一方面他们在黑市上出售窃取到的信用卡信息并进行网上交易等。

虽然假冒杀毒软件在2006年被首次报道出来,但直到2008年这类恶意程序才开始激增。用户浏览网页、下载媒体播放器的编解码器、点击电子邮件中的链接等都可能被感染。

一旦他们感染了一个系统,这些应用程序将冒充杀毒软件检测出受害者的电脑上的几百个威胁。当用户试图去移除威胁,会将被告知要购买产品“完整”许可证。用户购买许可证后,计算机虽然看上去不会有任何变化,但假冒杀毒软件将一直留驻在用户的电脑上。

真流氓假仗义

在2009年1月至2010年2月期间,Google针对当前的互联网安全进行了研究,结果显示,诈骗者依赖软件代码去感染用户计算机的概率已经降低,而是改为诱使用户下载假冒的杀毒软件去感染用户的计算机。这种假冒的安全软件几乎出现在网络的任何地方。一般来说,这种诈骗方法一开始是弹出一个广告,就像QQ的弹出窗口或是门户网站的Web Cast假装扫描用户的计算机。当然,这种扫描的结果就是:“你的计算机不够安全”,解决方案只有一个,通过信用卡付费或者下载免费的假冒杀毒软件。

Google指出,目前,假冒的杀毒软件日益增长,已经占据全部恶意软件的15%。这些假冒的杀毒软件一般都假装对受害者的计算机进行扫描并且声称发现一些恶意软件。这时,假冒的杀毒软件便会要求用户付费以便清除这些不存在的恶意软件。无论用户是否付费,这些假冒的杀毒软件都可能安装更多的恶意软件。

软件专家子翼评论说,这种假冒杀毒软件的软件设计质量很差,但它会在用户的计算机上安装病毒、木马程序或者键盘记录器。MS Antivirus是最具代表性的假冒防病毒软件之一,它的界面和功能菜单看上去非常专业,能够破坏防病毒软件的保护功能。它在互联网上流传的时候,通常还有另外两个名字:“System Security”或是“WinPC Defender”。

Google首席软件工程师Niels Provos表示,自Google开始从事此项研究以来,假冒杀毒软件的数量已经增长了5倍。

一般来讲,用户主要是通过以下两种途径下载假冒的杀毒软件:垃圾信息网站和在线广告。除了担心降低用户的信任和安全之外,Google还要保证在线广告不能成为广泛应用的传播恶意软件的手段。否则,用户就会拒绝合法的广告,这会直接影响到Google的收入。

数量激增手法各异

PandaLabs技术经理Luis Corrons最近在接受国外媒体采访时说,PandaLabs在2008年第一季度发现了1000个假冒的杀毒软件样本。在一年的时间里,假冒杀毒软件样本增加到了11.1万个。在2009年第二季度,这个数字增加到了37.4万个。

假冒杀毒软件发布虚假的感染警报,以便让人们购买。其中大约3%的人在看到虚假警报之后会上当,支付每年50美元的许可证费或者80美元的终身许可证费。就在2010年9月,一个黑客侵入了假冒杀毒软件厂商Baka Software的服务器,发现这个公司的一个下属机构在一个星期里赚了8万多美元。安全公司Finjan发布的一篇报告则预测,假冒杀毒软件分销商一天能够获利1万多美元。

微软安全部门指出,假冒杀毒软件会用虚假通知警告使用者计算机正在受到恶意软件入侵,并要求使用者付款取得保护。微软公布的假冒安全软件包括Win32/FakeXPA、Win32/Yektel、Win32/Fake-SecSen等。这些恶意软件手法不一,有些会把使用者电脑的屏幕变成蓝色,有些会在用户浏览时警告系统受到病毒威胁。Win32/FakeSecSen会在使用者系统的控制台上新增形如Vista的影音图示,并使用与微软安全中心一致的颜色。当用户双击图示,假冒杀毒软件就会出现并宣称已侦测到大量的安全威胁,要求使用者付费清除这些安全威胁。

微软指出,这些伪造的恶意安全软件除了采用传统恶意代码的散布渠道外,大多数还拥有各自伪造的网站,假装是合法的安全软件提供商。这些看起来很专业的网站可能使用假的商标、名称,甚至是伪造的奖项。