Falsos golpistas de software de segurança pulam no Conficker

Certos termos de pesquisa trarão um host de páginas da Web que poderiam infectar um PC com software malicioso ou tentar vender um programa de segurança desonesto, disse Rik Ferguson, consultor sênior de segurança do fornecedor Trend Micro.

Ferguson disse que percebeu um aumento nesses tipos de sites nos últimos dias como outras ferramentas de software legítimas foram lançados que podem detectar o Conficker, que infectou entre 3 milhões e 10 milhões de PCs em todo o mundo.

[Leia mais: Como remover malware do seu PC Windows]

Por exemplo, uma pesquisa por "N map Conficker "trará resultados maliciosos", disse Ferguson. O Nmap é uma ferramenta de rede de código aberto que foi atualizada para detectar infecções do Conficker. Ferguson disse que ficou surpreso com a rapidez com que os golpistas começaram a manipular o Google com esses termos de pesquisa, como o Nmap acaba de ser atualizado.

Os golpistas usam o mecanismo de busca do Google criando sites cheios de termos de busca, disse Fergusons. Outra tática é o spam de sites de alto tráfego que levam de volta ao seu site malicioso, a fim de elevar o seu site às buscas. O Google tem lutado contra aqueles que tentam manipular seu mecanismo de busca, mas os golpistas às vezes vencem. por um tempo. Ferguson, que postou screenshots de buscas que fez no final da noite de segunda-feira, disse que entrou em contato com o Google sobre suas descobertas. Os falsos sites de software de segurança pedem que um usuário baixe um arquivo que rastreia uma máquina em busca de malware. O software geralmente diz ao usuário que o PC tem software malicioso, mesmo que não esteja infectado, disse Ferguson. O software então fará com que o usuário compre o programa de segurança questionável.

"Depois de baixá-lo, é extremamente difícil tirar esse material da sua máquina", disse Ferguson.

O fornecedor finlandês de segurança F-Secure Também viram diversos registros de novos domínios para sites que vendem software que supostamente remove o Conficker, de acordo com um blog da empresa.

Um desses programas, chamado MalwareRemoval Bot, exige US $ 39,95 para remover malware. Mas não funciona.

"Ele não remove o Conficker.C", escreveu Patrik Runald, gerente de resposta de segurança da F-Secure. "Não fez nada."

O Conficker é um worm difícil de remover que incomodou a comunidade de segurança. Versões do worm se espalham, aproveitando-se de uma vulnerabilidade no serviço Microsoft Windows Server, através de mídia removível infectada ou senhas fracas forçadas por força bruta.

A comunidade de segurança está preparada para quarta-feira, quando a variante Conficker.C se tornará ativa. O worm é programado com um algoritmo que gera nomes de domínio aleatórios. Se um desses nomes de domínio estiver ativo, o worm irá para o site e tentará baixar mais instruções.

O Conficker.C é programado para gerar 50.000 nomes de domínio por dia e tentará acessar 500 desses nomes por dia, de acordo com a empresa de segurança Websense.

Aqueles que controlam o Conficker ainda precisam usá-lo para fins mal-intencionados, mas o grande número de máquinas infectadas significa que o botnet pode ser capaz de ataques devastadores de negação de spam, campanhas de spam ou roubo generalizado de dados

A Microsoft está oferecendo uma recompensa de US $ 250.000 por informações que levem à prisão e condenação dos criadores do Conficker.