揪出“李鬼” 教你防范偽殺毒軟件

偽殺毒軟件只會讓你掏錢，卻清理不了你的電腦。諸如DriveCleaner、WinFixer、Antivirus XP和Antivirus 2009此類的偽殺毒軟件產品通過網上廣告大肆宣傳，模擬Windows警告消息，提醒電腦受到了某種惡意軟件的感染，建議你購買某一款反病毒產品來清除。一些提供騙人程序的商家把警告消息直接嵌入到Windows桌面上，從“系統托盤”小應用程序彈出消息，並且安裝程序以造成貌似逼真的系統崩潰藍屏，讓你誤以為勢態很嚴重。

1、微軟年度安全報告：偽殺毒軟件居首

據國外媒體報道，根據最近微軟公布的安全情報報告，偽殺毒軟件和帶有惡意攻擊的第三方應用程序都在上升。

此次微軟發布的安全情報報告(SIR)，覆蓋了全球2008年的後六個月的安全情況。微軟公布調查結果的目的就是向用戶提供准確的數據，使得他們了解最新的安全威脅和惡意攻擊的發展趨勢。

微軟特別說明的是，偽殺毒軟件——“Scareware”呈現大幅上升的趨勢。具體來講，偽殺毒軟件就是恐嚇用戶購買可以清理系統的防病毒或防間諜軟件，去感染用戶的計算機。

據了解，攻擊者往往會通過各種社會網站發布征求軟件，用恐嚇的手段去誘使用戶購買“完整版”的殺毒軟件，並聲稱會使得用戶免受木馬和惡意軟件的干擾。而實際上，這個征求軟件是一種惡意軟件，會竊取用戶的銀行賬戶，竊取財務和其他重要信息，並與僵屍網絡合作感染用戶的計算機。

其中，Win32/FakeXPA和Win32/FakeSecSen是Scareware的兩個脅從者，微軟軟件在150多萬台計算機中發現這兩種文件。

而另一種用於提供偽殺毒軟件的Win32/Renos，則在440多萬台獨立計算機中被檢測到。根據該報告，2008年下半年的Win32/Renos比2008年上半年上升66.6%。
2、偽殺毒軟件背後的秘密

BBC近日撰文為我們揭示了國外眾多假冒殺毒軟件背後巨大的產業鏈和豐厚的利潤的秘密。通過關鍵詞優化，將網民吸引到一些山寨網頁並提示其電腦已中毒，然後告知必須購買XX殺軟才能殺毒。不知情者在根據提示購買來的殺軟其實僅僅是一個沒有任何能力的偽殺毒軟件。而造假者每日平均非法所得近一萬美元。

由反釣魚工作組(the Anti-Phishing Working Group)本月發表的報告表明，互聯網上現在至少有9287個類似的偽殺毒軟件在傳播，是去年一月的2.25倍。專注於計算機安全研究的Finjan表示，造假者通過搜索引擎關鍵詞優化，將無知的網民吸引到一些山寨網頁，並用仿冒的提示窗口，提示小白，其電腦已中毒，然後告知必須購買XX殺軟才能殺毒。不知情者在根據提示購買來的殺軟其實僅僅是一個沒有任何能力的殺毒軟件界面。

研究員Yuval Ben-Itzhak表示，犯罪分子分為兩批，制作山寨網頁的一批，做軟件和賣軟件的一批。山寨網頁制作者往往會在自己的頁面上弄滿諸如“奧巴馬”這樣的關鍵詞，或者復制黏貼一堆近期的熱點，有甚者會用如“娜塔莎·理查森已死”這樣的噱頭來吸引鼠標。

熱點就意味著流量，無數上了套子的訪問者即將被重定向到偽殺毒軟件的那邊。

通過研究， Finjan公司獲得進入某個仿冒網站後台系統，偽殺毒軟件攤販用這個來管理他們的搜索引擎優化系統。根據統計，在16天的時間裡該山寨網站一共有180萬個PV，大約有7~12%的人安裝了這個偽殺毒軟件，共計1.79%的訪問者花了50美元買下了它。平均下來，日入1.08萬美元。

Yuval Ben-Itzhak表示，調查表明很多人在看到自己不明白的彈出窗口時便認為自己的電腦已經中毒。

一位Google發言人對記者表示，谷歌將盡全力打擊此類詐騙行為，絕不姑息。
3、如何防范偽殺毒軟件

這種純屬恐嚇性軟件(scareware)的工具只是聲稱可掃描電腦找出惡意軟件，其實檢測出來的不是無辜、常用的注冊表鍵值，就是根本不存在(或事先植入)的外來文件。更糟糕的是，許多這類程序禁用了Windows的關鍵組件，比如注冊表編輯器或任務管理器;或者禁用了Windows的“顯示屬性”設置中的選項，你就無法終止程序或無法去掉警告消息。人們特別容易相信這種其實毫無成效的軟件包，因為賣家收取的費用似乎很低(常常是每個版本40美元)。

正規的惡意軟件清除工具(即獨立機構的測試客觀地證明具有良好效果的工具)應當能立馬解決只會登廣告的軟件所無法清除的問題。試一下安全軟件，看看它有沒有效果。但真正有效的對策還是政府采取協調的行動，采取嚴厲的措施來懲罰這些不法分子。

安全專家建議：

1、對於個人PC，重要的系統補丁應及時安裝;對於企業用戶，應加強補丁管理意識，尤其對服務器等重要系統應盡早安裝;

2、不訪問有害信息網站，不隨意下載/安裝可疑插件，並檢查IE的安全級別是否被修改;

3、使用殺毒軟件時注意及時升級到最新的病毒庫版本，並保持時時監視程序處於開啟狀態;

4、不要隨意執行未知的程序文件;

5、合理的配置系統的資源管理器(比如顯示隱含文件、顯示文件擴展名)，以便能夠更快地發現異常現象，防止被病毒程序利用;