De nepwaarschuwing is dermate echt, dat ook de enigszins gevorderde gebruiker goed moet kijken. Het betreft hier een vorm van social engineering, maar in dit geval wordt een beroep gedaan op het vertrouwen van de gebruiker in zijn browser. Dat is een tactiek die nog niet eerder gebruikt is.

Rogue: MSIL/Zeven

De waarschuwingspagina wordt gevolgd door een link naar nep anti-virus software. Deze malware heeft de naam ‘Rogue: MSIL/Zeven’ gekregen en gedraagt zich precies zoals het echte werk. Je kunt bestanden scannen, je privacy- en beveiligingsinstellingen veranderen en de malware laat je keurig weten dat je achter loopt met updaten. Wanneer je je computer laat scannen, komt het programma op de proppen met allerlei besmette bestanden. Maar helaas, die kan het programma natuurlijk niet verwijderen, tenzij je volledige versie koopt.

Microsoft Security Essentials spoof

Wanneer de gebruiker doorklikt, komt hij op een zogenaamd beveiligde pagina in ‘safe browsing mode’ en die lijkt precies op de Microsoft Security Essentials webpagina. Zelfs de prijzen die Microsoft gewonnen heeft met haar software staan erop en om het nog betrouwbaarder te laten lijken, staat er een link naar het Microsoft Malware Protection Center.

Schoonheidsfoutjes

De malware auteurs hebben echter toch niet alles vlekkeloos uitgevoerd. Zo staat er op de Firefox waarschuwingspagina de taalkundig incorrecte tekst ‘Get me our of here’. Ook is niet gebruikelijk dat een browser een aparte pagina laat zien waarop te lezen is dat het je aankoop veilig laat doen. Verder kun je natuurlijk gewoon zoeken naar de bestanden die het programma zegt te vinden. Als je dat doet, zul je ze namelijk zeer waarschijnlijk niet aantreffen op je harde schijf.

Ondanks deze kleine verdachtmakingen, is het oog voor detail van de malwareschrijvers opmerkelijk te noemen en wellicht nog niet eerder vertoond.

Bron: Techworld