Zellik, 12 december 2011 – De afgelopen maanden hebben een neergaande lijn laten zien in infecties met nep-antivirusscanners, dankzij juridische maatregelen van verschillende overheden. Daarnaast hebben de grootste zoekmachines ervoor gezorgd dat fraude met de zoekresultaten (‘blackhat SEO poisoning) veel moeilijker is geworden. Desondanks heeft G Data’s SecurityLab onlangs een aantal nieuwe nep-antivirusscanners ontdekt die vele slachtoffers hebben gemaakt. Deze scanners zijn op zich niet erg nieuw en revolutionair, maar wanneer zij met elkaar worden geanalyseerd, zijn er toch wat interessante conclusies te trekken.

De laatste drie weken zijn er verschillende nep-antivirusscanners die volgens dezelfde werkwijze werken. Er zijn speciale websites gemaakt, die zich voordoen als legitieme site voor een antivirusscanner. G Data analyseerde meerdere van deze sites en ontdekte dat de code ervan veel overeenkomsten vertoont. De meeste van deze sites simuleren de Microsoft Windows Explorer lay-out en tonen een nep-virusscan, waarna de bezoeker wordt aangeraden om de aangeboden (valse) antivirussoftware te installeren.


De scanners die door het SecurityLab werden geanalyseerd waren gebaseerd op de lay-out van Windows XP en Windows 7. De procedure na het openen van de scannerwebsite is verder gelijk. Internetgebruikers komen op deze sites terecht door bijvoorbeeld een geïnfecteerde legitieme site te bezoeken, die de bezoeker automatisch naar de gewraakte site doorstuurt. Ook kan een legitieme link op een site worden gemanipuleerd.

Na het bezoeken van een verkeerde site worden de volgende stappen doorlopen:

Stap 1: Nep-waarschuwing
Wanneer een internetgebruiker een geïnfecteerde website bezoekt, wordt een JavaScript-waarschuwing getoond. De syntaxis en lay-out hiervan verschilt per browser.

Stap 2: Nep-scan van het systeem
Dit is de meest uitvoerige stap. Nadat de bezoeker de ‘OK’-knop heeft aangeklikt bij de eerste waarschuwing, wordt zogenaamd een scan van het systeem gestart. De scans zijn eenvoudige JavaScript code. De gescande bestanden, bestandextensies en ook de gevonden bedreigingen worden willekeurig gegenereerd door het script met een vaste set van waarden.

De bestudeerde code geeft de indruk dat al deze websites door één persoon, of een klein groepje mensen is geschreven, omdat veel van de codefragmenten nagenoeg identiek zijn. Ook de zogenaamde Cascading Style Sheets die zijn gebruikt om de Windows Explorer-look te benaderen zijn bij de verschillende sites gelijk. Veel van de CSS-items hebben ook dezelfde naam.

Stap 3: Nep-resultaten en nep-software
Na de zogenaamde virusscan, worden de zogenaamde resultaten getoond in een scherm, en wordt de ‘oplossing’ gegeven. Bij verdere analyse van de code, komt een evolutie in het ontwerp ervan aan het licht. Waar de scanresultaten van de Windows XP-versies alleen een afbeelding toonden, worden de resultaten van de Windows 7-versies dynamisch gegenereerd met behulp van JavaScript en is er een bepaalde mate van interactie mogelijk. Zo kan het slachtoffer door de resultaten heen scrollen.

Stap 4: Poging tot infectie
Na de scan, wordt een programma ter download aangeboden. De website is geconfigureerd op een manier dat het bijna onmogelijk is voor de gebruiker om te weigeren, omdat de ‘Vorige’-knop van de browser wordt uitgeschakeld met behulp van JavaScript. Wanneer het slachtoffer probeert het venster te sluiten, verschijnt de melding opnieuw.

Er heeft op dit moment echter nog geen daadwerkelijke infectie plaatsgevonden. Dat gebeurt pas wanneer het programma daadwerkelijk wordt gedownload.

Hoe kan de download worden voorkomen?
Hoewel het niet mogelijk is om de browser op de normale manier te sluiten tijdens dit punt in het proces, kan JavaScript geen acties buiten de browser onderdrukken. Dat betekent dat het wel mogelijk is om de browser met behulp van de Windows Taakbeheer te sluiten. De Windows Taakbeheer kan worden geopend met CTR-ALT-DEL. Selecteer dan ‘Taakbeheer starten’. Klik vervolgens in de lijst de actieve browser (bijvoorbeeld Firefox, Internet Explorer of Chrome) aan en klik op ‘Beëindig taak’.

Tips om nep-antivirusscanners te ontlopen
• Gebruik een degelijke, betrouwbare antivirusoplossing met up-to-date virushandtekeningen, http-filter, etc. om de pc en alle digitale gegevens te beschermen.
• Download alleen software van de officiële website van de fabrikant van die software, of van een website met een goede reputatie.
• Controleer tijdens het downloaden van software goed het dialoogvenster. Is dit echt de juiste software?
• Zorg ervoor dat de browser en het besturingssysteem van de computer altijd volledig up-to-date zijn.
• Klik niet zomaar op hyperlinks, maar controleer eerst goed naar welke site de link leidt.
• Controleer de spelling, grammatica en typografie van pop-ups. Foutjes en een afwijkend lettertype zijn sterke aanwijzingen voor fraude.
• Waarschuwingen en pop-ups zijn altijd gesteld in de taal van het besturingssysteem. Wie met een Nederlandse Windows-versie werkt, krijgt alleen Nederlandstalige pop-ups van Windows.

Over G Data
G Data Software AG is een security-specialist van Duitse origine. G Data ontwikkelde haar eerste antivirus-programma al in 1987 en was daarmee een pionier in Europa. Kwaliteit is een prioriteit voor de onderneming. Als resultaat hiervan heeft G Data in de afgelopen vijf jaar meer testoverwinningen in Europa behaald dan welke andere aanbieder ook.
G Data is opgericht in 1985. De onderneming biedt oplossingen voor consumenten en voor kleine, middelgrote en grote ondernemingen, die wereldwijd in meer dan 90 landen beschikbaar zijn. Het hoofdkantoor is gevestigd in Bochum (Duitsland). Meer informatie is te vinden op www.gdata.be.

Contact
Daniëlle van Leeuwen
PR Manager G Data Benelux
Tel. (+31) (0)20 808 0835
Mob. (+31) (0)6 54 660 215
E-mail: danielle.van.leeuwen@gdata.nl
Twitter: GDataBenelux
Facebook: G Data Benelux
Persinformatie: http://www.gdata.nl/over-g-data/perscentrum.html