IT-sikkerhetsselskapet Symantec har utgitt en rapport om falsk sikkerhetsprogramvare, med utgangspunkt i data samlet inn fra juli i fjor til juni i år: Symantec Report on Rogue Security Software. Rapporten viser at kriminelle tjener grovt på å selge falsk antivirus, etter å ha skremt brukere med en melding om at de skal være infisert av ondsinnet kode, og lurt dem til å besøke et nettsted med påstått rimelig og effektivt antivirus. I beste fall gjør det falske antiviruset minimal skade på pc-en. I verste fall kapres maskinen, og all lokal data åpnes for uvedkommende.
I innsamlingsperioden avdekket Symantec 43 millioner ulike tilfeller der falsk antivirus ble installert eller forsøkt installert på brukeres pc-er. Disse omfatter 250 atskilte programpakker med påstått antivirus. De mest utbredte er: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, Spyware Secure og XP AntiVirus.
Distribusjonsmetodene varierer: Ofrene lures til både å laste ned og til å betale, typisk fra 30 til 100 dollar, altså 200 til 600 kroner, per installasjon. Spam brukes til å skremme folk og lure dem til å besøke bestemte nettsteder, der de kan få skannet pc-en og kjøpe antivirus dersom det viser seg at de er infisert. Skanningen viser gjerne at man er infisert, og ledsages av sterke oppfordringer om å gjøre noe med det umiddelbart. Men både under skanning og nedlasting risikerer man å få overført ondsinnet kode. Her er et eksempel, fra en tjeneste som ikke har noe med Microsoft å gjøre:
Ved besøk på et nettsted kan man plutselig oppleve denne typen melding, der man informeres om at pc-en er infisert med ondsinnet kode, og at man bør ty til antivirus. Klikker man på meldingen, sendes man til et egnet sted hvor antivirus kan kjøpes.
Nettstedene som distribuerer falsk antivirus, skifter stadig.
Over en periode på to måneder, det vil si juli og august i år, avdekket Symantec nærmere 200 000 nettadresser som distribuerte falsk antivirus. Hele 26 prosent av dem kombinert falsk antivirus med overføring av ulike typer ondsinnet kode. Dedikerte nettsteder ble brukt i 93 prosent av tilfellene der de 50 mest utbredte falske antivirusene ble distribuert. En annen populær distribusjonsmetode var bannerannonser på legitime nettsteder: 52 prosent av de mest utbredte falske antivirusene benyttet seg av slike.
Nettsteder som deltar i distribusjonen av falsk antivirus, tjener på virksomheten, dels gjennom fordekt søkemotoroptimalisering som sender den oppover når brukere søker etter antivirus, dels ved provisjon når varen lastes ned. I USA tjener nettsteder i snitt 0,55 dollar hver gang noen gjennom dem laster ned falsk antivirus.
Distributørene av falsk antivirus er opptatt av at nedlastingen skjer frivillig: De 50 mest utbredte falske antivirusene lastes frivillig ned i 93 prosent av tilfellene, ifølge Symantec. Samtidig prøver gjerne også å installere seg på den besøkendes pc uten forutgående klikk på «download»-knappen: Det skjedde i 76 prosent av tilfellene.
53 prosent av serverne som sprer falsk antivirus, befinner seg i USA. Deretter kommer Tyskland med 11, prosent, Ukraina og Canada med 5 prosent hver, så Storbritannia, Kina og Tyrkia med 3 prosent hver.
Les også:
- [29.10.2009] Symantec sliter på bedriftsmarkedet
- [01.10.2009] - 39 prosent av norske PC-er infisert
- [17.12.2008] Tradisjonell IT-sikkerhet duger ikke lenger
- [11.12.2008] De 10 største nett-truslene
- [24.10.2008] Falsk virusvarsel på digi.no