SKADEVARE

Microsoft advarer mot falske blåskjermer

Supportsvindlerne har funnet på noe nytt.

Falsk blåskjerm skapt av skadevaren Hicurdismos
Falsk blåskjerm skapt av skadevaren Hicurdismos Bilde: Microsoft
Harald BrombachHarald BrombachNyhetsleder
25. okt. 2016 - 10:42

Blåskjermen (BSoD – Blue Screen of Death) er kanskje ikke like velkjent for Windows-brukerne i dag, som den var tidligere. Men det hindrer ikke at ondsinnede utnytter denne formen for dialog til å svindle brukerne. 

I et blogginnlegg advarer Microsoft mot en spesifikk skadevare, SupportScam: MSIL/Hicurdismos.A, som gjør nettopp dette. 

Mens en virkelig blåskjerm er et signal om en stort sett uopprettelig feil med påfølgende krasj i systemet, bruker Hicurdismos en tilsvarende skjerm til å lokke brukerne til å ringe et supportnummer. 

Leste du denne? Windows-oppdatering slo ut journalsystem på svensk sykehus i fem dager

Omvendt «Microsoft-svindel»

Ved å ringe nummeret får ikke brukerne hjelp til å rette det virkelige problemet, altså skadevaren som sørger for at den falske blåskjermen vises. I stedet kan de bli narret til å installere enda mer skadevare, i den tro at dette er botemidler mot blåskjermen. 

På mange måter er dette en omvendt «Microsoft-svindel». For tradisjonelt er det svindlerne som ringer mer eller mindre vilkårlige personer og forteller at de er noe galt med pc-en deres. Men nå oppfordres altså ofrene til å ringe svindlerne.

Ifølge Microsoft kan man ta det som et sikkert tegn på at pc-en er infisert dersom man får en blåskjerm som inneholder kontaktinformasjon.

De ekte blåskjermene inneholder ikke kontaktinformasjon, bare en feilkode og instruksjoner om å søke på nettet etter mer informasjon. 

Den falske blåskjermen (til høyre), sammenlignet med den ekte (til venstre) i Windows 8.x og 10. <i>Foto: Microsoft</i>
Den falske blåskjermen (til høyre), sammenlignet med den ekte (til venstre) i Windows 8.x og 10. Foto: Microsoft

Har pågått i årevis: Svindlere ringer norske Windows-brukere

«Drive-by download»

Microsoft opplyser at Hicurdismos infiseres pc-en ved at installasjonsfilen, som heter setup.exe, automatisk lastes ned fra kompromitterte nettsteder. I Microsofts nettlesere fører dette til at brukeren blir spurt om filen skal kjøres. Dersom det dreier seg om ukjent eller ondsinnet programvare, blir det samtidig vist en advarsel. Men tydeligvis er det ikke alle som legger merke til eller bryr seg om denne. 

Ikonet til installasjonsfilen kan for øvrig minne om ikonet til Microsoft Security Essentials.

I blogginnlegget beskrives metodene Hicurdismos bruker for å generere blåskjermen. Dette inkluderer skjuling av muspekeren og deaktivering av Oppgavebehandlingen. Det sistnevnte hindrer at brukeren kan deaktivere prosessen. 

Microsoft anbefaler å skanne pc-en med Windows Defender Offline ved mistanke om infeksjon.

Ble ikke borte: Microsoft-kampanje våger å spøke med blåskjermen

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.