Avisos de Infecção Falsa Podem Ser um Problema Real

Michael Vana sabia que algo estava acontecendo quando ele viu o pop-up de "Antivirus 2009" no meio da tela. O ex-técnico de aviônicos da Northwest Airlines adivinhou que o terrível aviso de uma infecção no sistema era falso, mas quando clicou no X para fechar a janela, expandiu-se para preencher sua tela. Para se livrar disso, ele teve que desligar seu PC.

Parece familiar? Truques sujos como esses, criados para que você instale e compre produtos antivírus falsos, são mais comuns do que nunca. (Para obter conselhos sobre como proceder, caso tenha instalado um antivírus falso no seu PC, consulte "Antivirus 2009: Como remover o software antivírus falso".) Mas, embora você possa reconhecer esses avisos como falsos, talvez você não saiba que aviso pode ser um alerta vermelho sobre uma infecção por malware de bot subjacente. Saber a diferença é a chave.

"Não é algo com que você pisque mais", diz Christopher Boyd, diretor sênior de pesquisa de malware da empresa de segurança de comunicações FaceTime Communications, sobre pedidos de ajuda para lidar com esses avisos pop-up.

[Leia mais: Como remover malwares do seu PC com Windows]

O aumento da incidência desses pop-ups deve-se a mais criminosos indo atrás de dinheiro fácil de programas afiliados obscuros, que pagam uma enorme parcela dos lucros - até 90% - para cada pessoa que erroneamente recebe dinheiro por um programa falso, independentemente do que os induziu a pagar. Muitas vezes, o incentivo vem de um site mal-intencionado que usa truques de JavaScript para criar um monte de pop-ups, ou até mesmo redimensionar a janela do navegador do visualizador, para criar algo que se parece com uma varredura antivírus real.

um site usando um link de pesquisa ruim, como o que Boyd clicou para um jogo on-line gratuito do Batman. Ele foi redirecionado para um site que assumiu seu navegador para exibir uma falsa varredura antivírus, que encontrou infecções críticas (fictícias) que poderiam ser consertadas com a compra de um programa antivírus nocivo.

Se um site simplesmente rouba seu navegador, você não não precisa se preocupar muito: os pop-ups ou as janelas falsas do scanner não causam danos permanentes, diz Boyd. Você pode ser impedido de fechar a janela, como Michael Vana, mas geralmente você pode abrir o Gerenciador de Tarefas do Windows com Ctrl-Alt-Delete e fechar o navegador dessa maneira. Às vezes, basta pressionar Alt-F4 para desativá-lo.

"Para fazer isso, [o site falso] usa código real e geralmente não explora um buraco", diz Boyd. Contanto que você não faça o pan-ic e instale o programa empurrado, nenhum dano real ocorre.

Antivírus Falso Baseado em Bot

Infelizmente, a outra maneira de combater um falso programa antivírus é muito pior.

Joe Stewart, diretor de pesquisa de malware da SecureWorks, uma empresa de serviços de segurança para empresas, rastreia malware de bots para ganhar a vida. Criminosos usam computadores infectados por bots, às vezes reunidos em enormes redes (chamadas de botnets) de cem mil ou mais sistemas, para enviar spam para todo o mundo. Mas eles também usam bots para baixar programas antivírus desonestos e outros malwares no PC da vítima.

"É uma maneira comprovada de monetizar uma botnet", diz Stewart. “Quase qualquer um com um botnet já implantado está potencialmente olhando para isso como uma maneira de ganhar dinheiro extra.”

De acordo com Stewart, os criminosos ganham esse dinheiro fazendo com que alguém baixe uma suposta versão de teste do rogue AV-. - optando por uma técnica de vendas de software legítima - ou instalando esse software nos bastidores com um bot.

Uma vez instalado, o invasor normalmente usa técnicas altamente agravantes, como alterar o plano de fundo da área de trabalho do Windows para avisar sobre um problema. suposta infecção e exibindo outros avisos constantes, para forçá-lo a comprar a versão completa do software

Você pode saber que não deve baixar o AV falho em resposta a um espúrio pop-up do navegador. Mas quando instruído a baixá-lo por um controlador malicioso, um robô oculto nunca lhe dará a chance de aplicar seu bom senso.

Se você seguir as precauções básicas de segurança, como manter atualizado seu software antivírus e ter cuidado com anexos e downloads de e-mail, poderá reduzir significativamente as chances de ser infectado por um bot ou outro malware. Mas se você vir pop-ups ou outros avisos falsos de AV falsos em seu computador, é uma boa idéia tentar determinar se é de um site ou de um software real instalado por um bot (ou por outra pessoa que usa o PC)

Possibilidades infinitas

Existem muitas variações no falso esquema de software, e as táticas dos criminosos variam, portanto, não há um indicador universal de que esteja presente. Mas cuidado com os avisos que persistem após a reinicialização do seu PC, especialmente se você os vir antes de abrir o navegador. Ver um ícone de aviso desconhecido na bandeja do sistema é outro sinal ruim, especialmente se você não puder clicar com o botão direito do mouse e fazê-lo desaparecer. E se o plano de fundo da sua área de trabalho mudou, você está definitivamente infectado com o antivírus nocivo, diz Boyd.

Quanto à fonte desse lixo, aqui vai uma dica. Uma variedade que Stewart examinou, então chamada de "Antivirus XP 2008", primeiro checava a configuração do sistema do PC para ver se ele estava localizado em um país com muitos russos étnicos. Também examinaria o Internet Explorer do usuário para visitas à versão russa do Google. Se encontrasse tal evidência, o instalador sairia imediatamente sem afligir a vítima em potencial. De acordo com Stewart, isso é "suficiente para garantir que usuários russos nunca verão uma instalação do Antivirus XP 2008". Mas os usuários de Internet fora do antigo Bloco Oriental devem estar atentos.