Fałszywe antwirusy zamulają skanery AV

Według raportu Anti-Phishing Working Group, obejmującego pierwsze półrocze br., fałszywe programy antywirusowe mnożą się w takim tempie, że mogą ograniczyć możliwości wykrywania malware przez skanery AV wykorzystujące sygnatury.

Według danych APGW w pierwszym półrocze br. wykryto 485 tys. próbek fałszywego oprogramowania antywirusowego, pięciokrotnie więcej niż w całym roku 2008.

Powodem pojawienia się tak dużej liczby tego typu kodów złośliwych jest polimorfizm, stara technika polegająca na zmianie w binarnej "sumie kontrolnej" każdej kopii malware. Ta metoda znacznie utrudnia wykrywanie takich programów przez antywirusy.

Podstawowym celem wprowadzania wielu wariantów tego samego wirusa jest uniknięcie wykrycia przez programy antywirusowe wykorzystujące sygnatury. Wykorzystanie analizy behawioralnej ma ograniczone zastosowanie w tego typu malware, ponieważ same programy nie wykazują w komputerze złośliwych działań, innych niż wyświetlanie fałszywych informacji.

Podane liczby to tylko pewien procent rzeczywistego rozmiaru zjawiska. Fałszywe antywirusy mogą być trudne do przechwycenia metodami heurystycznymi, ponieważ często są chętnie instalowane przez użytkowników, którzy, biorąc te programy za prawdziwe, omijają systemy zabezpieczeń takie jak Vista UAC (User Account Control).

W innym miejscu opublikowanego raportu, APWG podaje, iż liczba zainfekowanych pecetów wzrosła w drugim kwartale br. o 66 proc. w porównaniu z tym samym okresem roku 2008, osiągając 11,9 milionów. W tej liczbie są wszystkie typy malware, w tym fałszywe antywirusy, które stanowią niewielki procent, pokazują jednak skalę problemu. Liczba komputerów, które zostały zainfekowane jest tak duża, ponieważ użytkownicy nie stosowali żadnej ochrony lub zastosowane oprogramowanie ochronne nie radziło sobie z nowymi malware.