Nepbeveiligingssoftware Oplichters Springen op Conficker

Google's zoekranglijst wordt gebruikt gevuld met links naar nepbeveiligingssoftware die beweert Conficker te verwijderen, een wijdverspreide worm die momenteel de grootste bedreiging vormt voor het internet, maar niet.

Bepaalde zoektermen zullen een groot aantal webpagina's opleveren die een pc kunnen infecteren met kwaadwillende software of proberen een dodgy beveiligingsprogramma te verkopen, zei Rik Ferguson, senior beveiligingsadviseur voor de leverancier Trend Micro.

Ferguson zei dat hij de afgelopen dag of op een andere legitieme softwaretool een opleving zag in dit soort sites. zijn vrijgegeven die Conficker kunnen detecteren, die tussen de 3 miljoen en 10 miljoen pc's wereldwijd heeft geïnfecteerd.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Bijvoorbeeld een zoekopdracht naar "N map Conficker "brengt kwaadaardige resultaten naar voren, zei Ferguson. Nmap is een open-source netwerktool die is geüpgraded om Conficker-infecties te detecteren. Ferguson zei dat hij verbaasd was over hoe snel de oplichters Google begonnen te manipuleren met die zoektermen, zoals Nmap onlangs is geüpgraded.

Oplichters spelen Google's zoekmachine door websites te maken vol met zoektermen, zei Fergusons. Een andere tactiek is het spammen van websites met veel verkeer die naar hun kwaadwillende site leiden om hun website hoger in de zoekresultaten te krijgen.

Google vecht tegen diegenen die zijn zoekmachine proberen te manipuleren, maar de oplichters winnen soms voor een poosje. Ferguson, die screenshots plaatste van zoekopdrachten die hij maandagavond laat deed, zei dat hij contact heeft opgenomen met Google over zijn bevindingen.

De nep-websites voor beveiligingssoftware zullen een gebruiker vragen om een ​​bestand te downloaden dat een machine op malware scant. De software vertelt de gebruiker meestal dat de pc kwaadaardige software heeft, zelfs als deze niet is geïnfecteerd, zei Ferguson. De software daagt de gebruiker dan uit om het dubieuze beveiligingsprogramma te kopen.

"Als je het eenmaal hebt gedownload, is het buitengewoon moeilijk om dat spul van je machine te krijgen," zei Ferguson.

Finse beveiligingsleverancier F-Secure heeft zag ook een aantal nieuwe domeinregistraties voor websites die software verkopen die Conficker volgens een bedrijfsblog zou verwijderen.

Een van die programma's, MalwareRemoval Bot genaamd, eist $ 39,95 om malware te verwijderen. Maar het werkt niet.

"Het verwijdert Conficker.C niet", schreef Patrik Runald, security response manager voor F-Secure. "Het heeft niets gedaan." Conficker is een moeilijk te verwijderen worm die de beveiligingsgemeenschap heeft gekrenkt. Versies van de worm verspreiden door misbruik te maken van een kwetsbaarheid in de Microsoft Windows Server-service, via geïnfecteerde verwijderbare media of brute dwingende zwakke wachtwoorden.

De beveiligingsgemeenschap zet zich schrap voor woensdag, wanneer de Conficker.C-variant actief wordt. De worm is geprogrammeerd met een algoritme dat willekeurige domeinnamen zal genereren. Als een van die domeinnamen live is, gaat de worm naar de website en probeert hij verdere instructies te downloaden.

Conficker.C is geprogrammeerd om 50.000 domeinnamen per dag te genereren en probeert dan toegang te krijgen tot 500 van die namen per dag, volgens beveiligingsbedrijf Websense.

Diegenen die Conficker beheersen, moeten het nog gebruiken voor kwaadwillende doeleinden, maar het grote aantal machines dat geïnfecteerd is, betekent dat het botnet in staat zou zijn tot het verwoesten van denial-of-sevice-aanvallen, spam-campagnes of wijdverspreide gegevensdiefstal.

Microsoft biedt een beloning van $ 250.000 voor informatie die leidt tot de arrestatie en veroordeling van de makers van Conficker.