Schelm-Antivirus-Programme setzen fort, unsere Kunden zu plagen, weil Vorlagen in diesem September die Spitze des Augusts malware Profil zurückwarfen. FAKEAV Varianten und Bestandteile vicitimized Benutzer aus aller Welt. Diese Drohungen sind noch unter den allgemeinsten Fall-Vorlagen wir haben sogar gerade zwei Wochen in den September erhalten.Rogue antivirus programs continue to plague our customers as submissions this September echoed August’s top malware profile. FAKEAV variants and components vicitimized users from all over the world. These threats are still among the most common case submissions we have been receiving even just two weeks into September.

Schelm der hoch entwickelte Modus von Angriffen von AV operandi fängt mit dem erschlichenen Herunterladen einer anscheinend legitimen Datei über mehrere mögliche Infektionsvektoren an. Bis jetzt haben wir wirklichen Schelm AV Angriffe gesehen, die beginnen in:Rogue AV attacks’ sophisticated modus operandi starts with the surreptitious downloading of a seemingly legitimate file via several possible infection vectors. So far we’ve seen actual rogue AV attacks that begin in:

• Spammed E-Mail-Nachrichten (ecards), die böswillige Verbindungen enthaltenSpammed email messages (ecards) that contain malicious links
• Sofortige Nachrichtenübermittlungsanwendungen, wohin Verbindungen als Nachrichten gesandt werdenInstant messaging applications where links are sent as messages
• Private Nachrichten in sozialen NetzwerkanschlussseitenPrivate messages in social networking sites
• Als codecs für Videos auf sozialen Netzwerkanschlussseiten veranstaltetAs codecs for videos hosted on social networking sites
• Heruntergeladen durch malware in einer vorherigen InfektionDownloaded by malware in a prior infection
• Massen-SEO, der das Beteiligen mehrerer in Verlegenheit gebrachter Websites vergiftetMass SEO poisoning involving several compromised Web sites

Was von diesem Punkt geschieht, vorwärts kann sich ändern, aber das Ziel muss den Benutzer durch eine Vielfalt von Systemmodifizierungen und angreifenden Vorsignalen überzeugen, dass etwas mit ihren PCs falsch ist. Diese erschrecken Taktik schließen Vertretungsfälschungswindows popup Ballons, das Ändern von der Tapete des PCs zu einer beunruhigenden Nachricht, und dem Durchführen eines freiwilligen Systemansehens ein, das beunruhigende Ansehen-Ergebnisse nachgibt.What happens from that point onward may vary, but the objective remains to convince the user through a variety of system modifications and invasive warning signals that something is wrong with their PCs. These scare tactics include showing fake Windows popup balloons, modifying the PC’s wallpaper to an alarming message, and performing an unsolicited system scan that yields worrying scan results.

Hier heben wir zwei der letzten Angriffe hervor, die wir gesehen haben, die sowohl Mehrbestandteil in der Natur sind als auch einzigartige Schwierigkeiten in Bezug auf die Reinigung präsentiert haben. Während es schwierig ist zu bestimmen, ob diese Schelm AV Programme, WinAntispyware 2008 und Antivirus XP 2008, sind mit der Überschwemmung von Antivirus-2009-Angriffen gesehen im August, ihr Vorherrschen in diesem September verbunden, schlägt vor, dass es Zeit ist, um diese Typen von Angriffen die Aufmerksamkeit zu bezahlen, die sie verdienen.Here we highlight two of the latest attacks we’ve seen which are both multi-component in nature and have presented unique difficulties in terms of cleanup. While it is difficult to determine whether these rogue AV programs, WinAntispyware 2008 and Antivirus XP 2008, are related to the spate of Antivirus 2009 attacks seen in August, their prevalence this September suggests that it is time to pay these types of attacks the attention they deserve.

Mikro-Tendenz entdeckt WinAntispyware 2008 als TROJ_FAKEAV.RIT und Antivirus XP 2008 als TROJ_FAKEAV.IE. Trend Micro detects WinAntispyware 2008 as TROJ_FAKEAV.RIT and Antivirus XP 2008 as TROJ_FAKEAV.IE.

Beide verlangen, dass der Benutzer auf eine Verbindung geklickt oder eine Verhaftung geöffnet hat, die zum Download eines trojanischen Tropfers auf ihre Systeme führte. TROJ_FAKEAV.RIT folgt dem konservativeren Pfad, weil es von einer Internetverbindung abhängt, um den Angriff im Laufe seines Endes zu sehen. Es lässt zuerst einige Dateien, einige von denen geführt am Wiederanfang fallen, um eine andere Datei vom Internet herunterzuladen. Diese Datei ist nicht der Schelm AV noch, es ist gerade ein Programm, das eine Fälschung popup zeigt sagend, dass das System angesteckt wird. Es ist, wenn der Benutzer auf den popup Ballon klickt, dass der Schelm AV den Rest der Show fortsetzt: Eine unechte Sicherheit zeigend, trösten GUI, dann ein unechtes Ansehen durchführend, dann unechte Ergebnisse zeigend, den Benutzer überzeugend, eine volle Version zu kaufen.Both require the user to have clicked on a link or opened an attachment that led to the download of a Trojan dropper onto their systems. TROJ_FAKEAV.RIT follows the more conservative path as it depends on an Internet connection to see the attack through its end. It first drops some files, some of which run at restart to download another file from the Internet. This file is not the rogue AV yet, it is just a program that displays a fake popup saying that the system is infected. It is when the user clicks on the popup balloon that the rogue AV continues the rest of the show: by displaying a fake security console GUI, then performing a fake scan, then showing fake results, convincing the user to purchase a full version.

Das Verlieren von 50 $ für ein unechtes Programm ist schlecht genug, aber Opfer sollten sich, aber über das Verlieren viel viel mehr sorgen. Immerhin, sobald Hacker ihre Hände auf Kreditkarte-Information bekommen, gibt es kein Erzählen, welche Gefahren im Lager für Opfer sind.Losing $50 for a fake program is bad enough, but victims should be worrying, though, about losing much, much more. After all, once hackers get their hands on credit card information there is no telling what risks are in store for victims.

Abbildung 1. WinAntispyware 2008-Produkt kauft SeiteFigure 1. WinAntispyware 2008 product purchase page

Der zweite bemerkenswerte Angriff, den wir gesehen haben, ist durch TROJ_FAKEAV.IE wegen seiner mehr Großhandelsannäherung an das Liefern des Angriffs. Anstatt sich auf die Internetverbindung jeder Schritt des Weges alles zu verlassen, bringt es, um eine Infektion von diesem Programm zu riskieren, ist das Download des trojanischen Tropfers TROJ_FAKEALER.DQ. Dieser Tropfer gibt seinen alle: Dateien, um zu helfen, den Benutzer wie eine Tapete und screensaver-und sogar der Schelm AV Programm selbst zu erschrecken. Vielleicht will die Meinung hinter diesem Angriff als viel ausnutzen, weil es von seinem Fuß in der Tür kann.The second notable attack we’ve seen is by TROJ_FAKEAV.IE because of its more wholesale approach to delivering the attack. Instead of relying on Internet connection every step of the way, all it takes to risk an infection from this program is the download of the Trojan dropper TROJ_FAKEALER.DQ. This dropper gives its all: files to help scare the user like a wallpaper and a screensaver–and even the rogue AV program itself. Perhaps the mind behind this attack wants to take as much advantage as it can of its foot in the door.

Es modifiziert die Tapete des Systems und screensaver Einstellungen so das erste Ding, das der Benutzer bemerken wird, ist sein/ihr Tischimage hatte sich geändert. Wenn er sich dafür entscheidet nachzuforschen, wird er sehen, dass die Arbeitsfläche und Screensaver Etikette von den Tischeigenschaften vermisst werden. Ein paar Sekunden ins Vermuten, dass etwas, ein EULA falsch ist, kommen aus dem Nichts heraus. It modifies the system’s wallpaper and screensaver settings so the first thing the user will notice is his/her desktop image had changed. If he decides to investigate he will see that the Desktop and Screensaver tabs from the Desktop Properties are missing. A few seconds into suspecting that something is wrong, a EULA comes out from nowhere.

Abbildung 2. Antivirus XP 2008-Fälschungs-EULAFigure 2. Antivirus XP 2008 Fake EULA

Wenn der Benutzer klickt, stimmen Ab und Installieren (nachdem das ganze EULA wie die meisten Programm-EULAs aussieht, die Leute nicht wirklich lesen), führt das System sofort ein Systemansehen und zeigt, dass ein unechtes Ansehen Seite resultiert. Danach öffnet der Browser ein Fenster, wo der Benutzer gebeten wird, seine Kontakt-Information zu geben.If the user clicks on Agree and Install (after all the EULA looks like most program EULAs which people do not really read), the system immediately conducts a system scan and shows a fake scan results page. After this the browser opens a window where the user is asked to give his contact information.

Abbildung 3. Antivirus XP 2008-Produktkauf-Preisnachlass-SeiteFigure 3. Antivirus XP 2008 product purchase discount page

Der Angreifer könnte ein bisschen diffierent Absicht haben, aber die Gefahren des Angriffs sind nicht weniger gefährlich. Den Namen der Opfer erhaltend, rufen Sie an und E-Mail-Adresse, Hacker können Benutzeridentität stehlen und soziale Technikangriffe durchführen, den Ausweis der Opfer verwendend. E-Mail-Adressen können an spammers als aktive Rechnungen verkauft werden. The attacker might have a slightly diffierent intention, but the attack’s risks are no less dangerous. By obtaining the victims’ name, phone and email address, hackers can steal user identities and perform social engineering attacks using the victims’ credentials. Email addresses can be sold to spammers as active accounts.

Hier ist eine Sehpräsentation dessen, wie was ein typischer Angriff aussehen kann:Here is a visual presentation of what a typical attack may look like:

Verwandte Blog-Posten:Related blog posts:

• Nachrichtenvideos, Irgendjemand? News Videos, Anyone?
• Paris Hilton Schlägt den Schelm AV Szene Paris Hilton Hits the Rogue AV Scene
• Spammed SWF URL-ADRESSE-Missbrauch ImageShack, Führen Sie zu Schelm AV Spammed SWF URLs Abuse ImageShack, Lead to Rogue AV
• Eine Million Ansteckende SuchschnurenA Million Search Strings to Get Infected

Tendenz Kluges Mikroschutznetz, eine folgende Generationssicherheitsinfrastruktur des Wolke-Kunden, schützt effektiv unsere Benutzer vor schädlichen, mehrbildenden und komplizierten Webdrohungen wie diese. Es verbindet Technologien in der Wolke mit kleiner, Kunden des leichteren Gewichts, Benutzern unmittelbarer Zugang zum letzten Schutz gebend.Trend Micro Smart Protection Network, a next generation cloud-client security infrastructure, effectively protects our users from harmful, multi-component and intricate Web threats such as these. It combines in-the-cloud technologies with smaller, lighter-weight clients, giving users immediate access to the latest protection.