日趋严重的问题——流氓反病毒软件

        过去两年中，我们多次介绍过一些程序会冒充其他程序的案例。其中，最为声名狼藉的当属流氓反病毒解决方案——这种程序会显示提示信息，即使用户的计算机系统是干净的，也会声称用户计算机已被病毒感染。这种程序不会扫描系统或清除病毒，他们的唯一目的是误导用户认为自身计算机处于风险之中，用户迫于恐吓，会购买他们所谓的“反病毒”产品。这类程序通常被称为“恐吓软件”，卡巴斯基实验室将这种软件归类为欺诈工具软件，统属于风险软件范畴。

 
示例：FraudTool.Win32.SpywareProtect2009欺诈软件主界面

        网络罪犯正在积极推广这种恶意程序，使得此类恶意程序的传播非常广泛。卡巴斯基实验室在2008年上半年检测到大约3,000种流氓反病毒软件，而到2009年，仅上半年就检测到超过20,000种此类恶意软件样本。

常用的传播伎俩

        首先，这些流氓反病毒软件是如何感染用户计算机的呢？这些恶意软件的传播方式同其他恶意软件类似，例如，下载器木马可以偷偷将这些程序下载到本地计算机，或者利用已感染网站的漏洞执行浏览即下载，将流氓反病毒软件下载到受害计算机。

        但是大多数情况下，都是用户自己将这种恶意软件下载到本地的。因为网络罪犯会使用专门程序（欺骗程序）或广告诱骗用户进行下载。

        欺骗程序也是一种欺诈软件，他们会试图说服用户需要下载一种“性能卓越”的反病毒解决方案，有时候即使用户选择拒绝安装此类流氓反病毒软件，这种欺骗程序还是会将那些假冒的反病毒软件安装到受害者计算机上。

        欺骗程序通常通过后门程序或利用网站的漏洞下载到受害者计算机上。一旦这种程序被安装到计算机，会自动弹出警告窗口，提示用户计算机系统发现多个错误，注册表损坏或数据被窃。

Hoax.Win32.Fera弹出的警告信息

        上述截图是一个伪造的警告信息，信息提示用户计算机被间谍软件所感染。并且会提示用户下载一个所谓的“间谍软件清除工具”。即使用户选择“否”，流氓反病毒软件仍然会被下载到本地计算机。

        网络罪犯还会利用互联网广告传播流氓反病毒软件。目前，很多网站都具有广告条，向浏览用户推荐性能神奇的可以解决各种恶意程序威胁的安全解决方案。甚至在一些合法网站上，也能看到这些为“新型反病毒解决方案”做广告的广告条或Flash。有时候用户在浏览网站时，会有浏览器窗口弹出，向用户推荐下载免费的反病毒软件，下图即为这种弹出式广告例子：

Opera浏览器中弹出的广告窗口

        通常，这种弹出窗口根本不会给用户任何选择权，因为其弹出的选项只有一个按钮，“确定”或者“是”。即使按钮标识为“否”或者“取消”，不管用户选择哪个按钮，流氓反病毒软件还是会被下载到计算机。

        卡巴斯基实验室最近发现一种网络罪犯使用的动态流氓反病毒软件下载技术。示例如下：通过位于********.net/online-j49/yornt.html的脚本生成一个重定向地址http://******.mainsfile.com.com/index.html?Ref='+encodeURIC组件（文件引用标识）。生成的地址取决于用户访问包含脚本网页的方式（通过文件引用标识实现），换句话说，就是取决于用户先前浏览的网站。在本市例子中，重定向地址为：http://easyincomeprotection.cn/installer_90001.exe，这个地址放置有一种新型的流氓反病毒软件——FraudTool.Win32.AntivirusPlus.kv。

        动态传播方式允许网络罪犯隐藏下载恶意软件页面的真实IP地址。从而使反病毒厂商很难获取到这些文件进行分析，以便于检测。这种传播方式也普遍被用户传播其他蠕虫或病毒。

        例如，Net-Worm.Win32.Kido.js（可以用来组建僵尸网络）采用DDNS技术，同时也可以下载和安装一种名为FraudTool.Win32.SpywareProtect2009.s的流氓反病毒软件。这表明背后操作和推广这两种恶意程序的可能是同一个或同一批恶意软件编写者，他们可以利用那个第一个蠕虫安装第二种恶意软件。

恐吓用户安装恶意软件

        现在，我们已经知道流氓反病毒软件是如何感染系统的。那么进入系统后，恶意软件都有哪些行为呢？

        首先，第一步是进行系统扫描。扫描过程中，流氓反病毒软件会显示一些经过精心策划的提示信息。例如，首先会提示发现Windows错误，然后提示发现系统被恶意程序感染，接下来会向用户推荐安装一款反病毒软件。有时候，为了使提示看起来更具说服力，在安装流氓反病毒软件时会另外安装一个文件，然后通过所谓的“扫描”，发现该文件“染毒”。

        虽然流氓反病毒软件会提示可以为用户修正系统错误，清除感染，但这种服务却不是免费的。当然，流氓反病毒软件表现得越像真正的安全软件，网络罪犯从受害者那里骗取到钱财的可能性也越大。

        以下是两个流氓反病毒软件的示例，分别为FraudTool.Win32.DoctorAntivirus 和 FraudTool.Win32.SmartAntivirus2009。如下面截图所示，两个软件都“检测”到这台运行Windows XP Professional Service Pack 2的计算机有一些其实并不存在的问题，然后提示想要清除感染，必须付费激活软件。其中，DoctorAntivirus 检测到40个后门程序、木马以及间谍软件，并且警告用户这些威胁可能导致系统故障。而SmartAntivirus2009也检测出大量问题，并同样警告用户这些问题有安全隐患。

 
DoctorAntivirus 2008（左）和Smart Antivirus 2009（右）的系统“扫描”结果

        点击“清除”按钮后，两个软件都会弹出窗口，要求用户购买其假冒的反病毒软件产品。如果用户同意购买，就会出现几种付款方式，包括PayPal、美国运通卡支付等。付款后，用户会收到一个注册码。上述两种流氓反病毒软件都采用了代码验证激活方式，并且都确保随机输入字符进行激活无效。这种技术可以使得软件显得更为正规。但是，用户购买后收到的验证码也很少管用，流氓反病毒软件会提示输入的验证码有误，试图让用户再次付款

 
FraudTool.Win32.DoctorAntivirus（左）和FraudTool.Win32.SmartAntivirus 2009（右）的激活界面

        DoctorAntiviru和SmartAntivirus2009的激活窗口几乎完全相同。看上去应该是软件开发者使用了相同的代码生成程序，并且只对显示文本和界面稍微进行了修改，其他都完全不变。

        通常，这种所谓的免费反病毒软件一旦宣称检测到（但不会清除）恶意程序，就会提示用户激活完整版软件（并会声称一旦付款购买，用户可以享受高性能的安全保护以及技术支持）。

 
FraudTool.Win32.AntiMalware2009的激活提示

        下图是一种源自俄罗斯的名为Smart-Anti-Spyware的流氓反病毒软件的激活窗口。要激活产品，用户需要向一个号码发送手机短信，这种诈骗手段在俄罗斯互联网上很常见。

Smart-Anti-Spyware的激活窗口

        [Smart-Anti-Spyware——用户的好伙伴！要清除恶意程序感染和优化系统，提高性能，您必须购买完整版。请发送手机短信内容+q007到1171，将接受到的激活码输入以下窗口。]

恶意软件生产线

        如上所述，很多不同的流氓反病毒软件的提示信息即使不完全一样，至少都非常相似。所以很有可能这些软件的编写者在开发这些软件时，使用的是同一个代码生成程序。

        流氓反病毒软件经常使用同多态蠕虫或病毒相类似的机制对抗反病毒解决方案，例如流氓反病毒软件的主体被加密，隐藏其中的字符串和链接。为了确保程序正常运行，文件中的动态代码可以在程序被载入前将恶意软件主体进行解密。

        FraudTool.Win32.MSAntivirus.cg 和FraudTool.Win32.MSAntispyware2009.a 是两种典型的运用上述技术的流氓反病毒软件。虽然这两种恶意软件来自不同的家族，但却使用了相同的多态加密方式。下图是这两种软件中包含的加密代码片段，而且这两个文件的结构完全相同。

 
FraudTool.Win32.MSAntivirus.cg的多态加密片段

 
FraudTool.Win32.MSAntispyware2009.a的多态加密片段

        采用现成的软件开发方案说明网络罪犯可以在很短的时间内制造大量相似的恶意程序，而且采用这种手段还可以使开发出的恶意软件躲避反病毒解决方案的特征检测。目前，已经形成了这种流氓反病毒软件的生产线，此外，这些软件自身也在进化，软件本身越来越复杂，使得传统的反病毒特征检测方式很难将他们识别。

        另外，使用基于行为分析的启发式签名扫描技术也很难检测出这些流氓反病毒软件。因为很难区分流氓反病毒软件是否是从合法软件开启的独立窗口。所此，如果流氓反病毒软件并不是采用非法打包程序进行打包，只能通过手动分析确定其是否是恶意软件。因此，新型流氓反病毒软件的检测相当困难。

惊人的数据

下图是流氓反病毒软件从2007年至今的增长曲线图。

 
流氓反病毒软件的特征码数量月度增长曲线（2007-2009）

        从上图可以看到，流氓反病毒软件的特征数量从2008年上半年开始增长，虽然到08年年底时，增长速度有所缓和。但到2009年5月，又开始急剧增长。

        造成近几年流氓反病毒软件数量大增的主要原因是因为这类软件容易制造，传播系统也非常有效，从而使网络罪犯可以在短期内获取到可观的利润。

        目前，卡巴斯基实验室收集到的流氓反病毒软件分别来自318个不同的家族。下表列出了排名前二十的最常见流氓反病毒软件家族。从2007年开始，针对这些家族恶意软件的特征也最多。排名前五的家族占所有签名数量的51.69%，他们都被个ileiweiFraudTool（诈骗工具软件），其家族名称还表明这些流氓反病毒软件所假冒的反病毒软件名称。

 
欺骗程序和诈骗工具软件占全部特征数量比例（2007-2009）

        从上表可以看出，针对诈骗软件的特征数量呈上升趋势，这主要是由于流氓反病毒软件的数量在增多，而并不是由于整体检测的程序数量变多导致的。

        新型流氓反病毒软件越来越常见，卡巴斯基实验室每天都会检测到10到20种新的欺骗或诈骗工具软件。而在两三年前，每两天才会出现一种新型流氓反病毒软件，可见其增长速度惊人。

保护措施

        流氓反病毒软件不会破坏受害用户的计算机，但网络罪犯可以使用这些程序从那些经验不足的计算机用户手中骗取钱财。这些软件具有另人信服的界面、关于感染的提示信息以及用户购买“产品”提示，很容易说服用户将自己的钱拱手送上。所以，用户应该谨记一些安全守则，确保自己不会为假冒的反病毒软件浪费钱财。

        如果你在计算机上发现一个从未听说过的反病毒软件，可以检查一下该软件供应商是否有官方网站以及技术支持。如果没有，可以肯定此软件是流氓反病毒软件。

        正规合法的反病毒软件绝对不会先扫描系统，然后立刻要求用户付费激活软件。所以用户一定不要为这种产品付费。并且，用户应安装知名反病毒厂商开发的反病毒解决方案，通过正规软件扫描和清除系统的威胁。

        用户应当只点击自己计算机上安装的合法反病毒软件的提示信息，对于在浏览网站时随机弹出的关于感染的警告信息，可以不必理会。即使您使用的浏览器安全组件或其他安全解决方案未能拦截弹出窗口，也不要点击弹出来的窗口。如果您遵循以上安全守则，就能够保证99%以上的几率拦截流氓反病毒软件感染您的系统。

结论

        不幸的是，用于诈骗用户钱财的恶意软件越来越普遍。除了流氓反病毒软件外，还有其他诈骗恶意软件的数量也呈稳步上升趋势。网络罪犯正在积极开发此类恶意程序，并且从各个方面如传播规模和手段以及躲避反病毒检测技术等多层次对恶意程序进行修改，增加传播成功率。

        很有可能此类恶意程序将来的发展趋势会主要集中于躲避反病毒软件检测的技术。而且此类恶意程序数量可能还会继续上升，相应地其受害者数量也会随之增加。

        网络罪犯如此热衷于传播流氓反病毒软件，说明该业务利润相当可观。网络罪犯使用的恐吓策略加大了诈骗的成功率。所以，我们再次强调用户要安装正规可靠的反病毒解决方案，因为这笔投资并不会白白浪费，用户可以获取到可靠的全方位安全保护。