Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Português
Computer Security O (Rogue) AntivirusBest Usa o Módulo BHO e as Populares...

O (Rogue) AntivirusBest Usa o Módulo BHO e as Populares Redes de Afiliados para Infectar Usuários

Por GoldSparrow em Computer Security
Traduzir Para:
Português

O AntivirusBest está fazendo o possível para capturar desprevenidos usuários de computador com mensagens falsas de aviso do IE e o uso de redes afiliadas de terceiros para distribuir seu programa.

Nesta semana, vimos um novo programa anti-spyware nocivo, chamado AntivirusBest, que instala um BHO do Internet Explorer (Objeto Auxiliar do Navegador). O módulo BHO QWProtect.dll seqüestra o navegador IE e mostra uma mensagem de aviso falsa, criada para parecer uma mensagem do IE que um usuário normalmente veria em seu navegador IE, na barra de ferramentas do IE, como mostra a Figura 1.

Figura 1. Falsa mensagem de aviso do IE
Mensagem de aviso falsa do IE
A mensagem de aviso falsa do IE diz:

"O Internet Explorer encontrou uma versão não registrada do AntivirusBest. Para proteger seu computador, registre seu AntivirusBest."

Depois que a mensagem de aviso falso do IE é clicada, o usuário do computador é direcionado para o link de download do AntivirusBest. O AntivirusBest executa uma varredura falsa e detecta infecções inexistentes encontradas no sistema do usuário do computador. O AntivirusBest foi projetado para exibir os mesmos resultados da verificação, independentemente da máquina em que é executada. Em seguida, o usuário do computador é alertado com alertas falsos do sistema na forma de janelas pop-up ou mensagens de balão localizadas na bandeja do sistema que lembram repetidamente o usuário do computador para comprar o programa AntivirusBest, como mostra as Figuras 2, 3 e 4.

O Trojan usado para distribuir o AntivirusBest também impede que os usuários acessem softwares e sites de segurança legítimos, como mencionado em um artigo anterior, intitulado "Trojan Rootkit. As variantes genéricas bloqueiam a execução de aplicativos de segurança (Norton, Window Defender, outros)". Nesse momento, o usuário do computador é forçado a desistir e comprar o AntivirusBest ou dedicar um tempo para descobrir como remover o programa antivírus nocivo.

Figura 2. Verificação do sistema AntivirusBest e mensagem "Alerta de conflito interno"
Mensagem de alerta de violação de privacidade do AntivirusBEST
A mensagem falsa "Alerta de conflito interno do AntivirusBEST" diz:

AntivirusBEST
Alerta de conflito interno.
O AntivirusBEST detectou conflitos de software interno. Alguns aplicativos tentam obter acesso ao kernel do sistema (esse comportamento é típico do Spyware / Malware). Isso pode causar falhas no seu computador.

Figura 3. AntivirusBest "Alerta de violação de privacidade!" mensagem
Mensagem de alerta de violação de privacidade do AntivirusBEST
O falso "alerta de violação de privacidade do AntivirusBEST!" a mensagem diz:

AntivirusBEST
Alerta de violação de privacidade!
O AntivirusBEST detectou uma violação de privacidade. Um programa é
secretamente enviando seus dados privados para uma Internet não confiável
hospedeiro. clique aqui para bloquear esta atividade removendo a ameaça
(Recomendado).

Figura 4. Mensagem do AntivirusBest "Seu PC não está protegido"
Mensagem do AntivirusBEST O seu PC não está protegido
A mensagem falsa "Seu PC não está protegido" diz:

Seu PC não está protegido
O centro de segurança relata que o 'AntiviruBEST' está inativo. O software antivírus ajuda a proteger seu computador contra vírus e outras ameaças à segurança. Clique aqui para as ações sugeridas. Seu sistema pode estar em risco agora.

No passado, vimos outros softwares de segurança desonestos usar BHOs ou cavalos de Troia para seqüestrar navegadores da Web e desativar funções importantes em um computador. Mas o que acontece quando redes afiliadas confiáveis possuem um software de segurança não autorizado em sua lista de produtos para promover online? Não é a primeira vez que os fabricantes de malware sequestram sites conhecidos e confiáveis ou enganaram os principais fornecedores de publicidade a promover aplicativos não autorizados.

Graças a um artigo interessante do Washington Post ( "Lucros maciços que abastecem o mercado de antivírus invasores" ), tivemos um vislumbre do mercado de antivírus desonestos e da quantia paga pelos ativistas de malware para "indenizar". De acordo com o artigo do Washington Post, os dados coletados pelos pesquisadores de segurança no TrafficConverter.biz, uma das redes de afiliados mais infames no tráfico de softwares de segurança não autorizados, mostram que alguns dos principais ganhadores de afiliados ganhavam mais de US $ 100.000 por mês em comissões.

O que faz com que o AntivirusBest se destaque é o fato de o programa direcionar os usuários a afiliar links de redes afiliadas legítimas e conhecidas, em vez de redes afiliadas sujas típicas. Os links dos afiliados apontam para as páginas de compra do AntivirusBest da RegNow, eSellerate, Plimus e SWREG. Aparentemente, os fabricantes de malware decidiram ir em uma escala muito maior e induzir redes legítimas a promover aplicativos não autorizados.

Não é surpresa que os fabricantes de malware estejam perseguindo redes afiliadas legítimas, é com isso que as redes afiliadas precisam lidar diariamente, mas obter um programa não autorizado e executar pedidos de compra é a parte preocupante.

Eis o que aconteceu quando nossa equipe de pesquisa teve um computador infectado com o AntivirusBEST e clicou no botão "Remover todas as ameaças agora" no botão "Aviso! 41 infecções encontradas !!!" mensagem como visto na Figura 5:

Figura 5. "Aviso!41 infecções encontradas !!!"
Mensagem de AntivírusBEST Warning 41 infecções encontradas

  • Quando o botão "Remover todas as ameaças agora" foi clicado pela primeira vez, ele foi redirecionado para um domínio malicioso chamado your-security-center.com, um dos muitos domínios usados para promover aplicativos não autorizados, para comprar o aplicativo AntivirusBEST por US $ 59,95, como mostra a Figura 6 abaixo. A qualquer momento, o botão "Remover todas as ameaças agora" pode redirecionar para um domínio malicioso diferente para evitar a detecção e a filtragem.
    Figura 6. Página da web Your-security-center.com
    Sua página da web da central de segurança
  • Na segunda, terceira, quarta e quinta vez em que o botão "Remover todas as ameaças agora" foi clicado, ele foi redirecionado para diferentes páginas de compra de redes diferentes, como mostra as Figuras 7, 8, 9 e 10 abaixo. As páginas de compra são de sites legítimos e não foram invadidas para hospedar malware ou redirecionar para domínios fraudulentos feitos para parecer legítimos. O AntivirusBEST foi adicionado às redes afiliadas como outro produto para vender.
    Figura 7. Página de produto AntivirusBest do eSellerate
    Página de produto do eSellerate AntivirusBest
    Figura 8. Página de produto do AntimirusBest da Plimus
    Melhor página de produto
    Figura 9. Página de produto RegNow's AntivirusBest
    Página do produto RegNow AntivirusBest
    Figura 10. Página do produto AntivirusBest do SWREG
    Melhor página de produto do antivírus SWREG

Observe que essas redes afiliadas não são sujas. Portanto, a questão é como o AntivirusBEST conseguiu passar pelo processo de pré-triagem de tantas redes afiliadas? Fique ligado para mais informações.

Carregando...