In 2009 is er door Google een enorme stijging waargenomen in zowel het aantal verschillende soorten scareware en het aantal kwaadaardige sites die de programma’s aan de bezoeker opdringen. 15% Van alle malware op het internet is scareware op dit moment.

Scareware

Scareware aanvallen werken door middel van social engineering. De bezoeker wordt wijsgemaakt dat er malware op de pc aanwezig is. Vervolgens wordt de gebruiker verteld dat de malware zal worden verwijderd als er een programma gedownload wordt.

Dat programma bevat echter zelf malware, toont dat de pc van de gebruiker zogenaamd malware bevat en de gebruiker kan dan voor een bepaald bedrag (waarvoor bijvoorbeeld creditcardgegevens verstrekt moeten worden) de niet bestaande malware laten verwijderen.

Domeinrotatie

De stijging van het aantal aanvallen en soorten malware die Google heeft waargenomen is echter niet de enige conclusie uit de analyse. In april 2009 stond de scareware nog gemiddeld rond de 100 uur op een website, in september 2009 was dat nog geen 10 uur en sinds januari 2010 staat het gemiddeld nog maar één uur op een site.

Dat lijkt misschien een goed teken, maar dat is het niet. Deze trend wijst namelijk op domeinrotatie. Dat houdt in dat de malware als het ware van website naar website springt, om detectie te vermijden.

Googlebots

Google verkrijgt dit soort gegevens door middel van bots, die het internet afstruinen om geïnfecteerde sites te vinden. Daarbij gebruikt het AV enigines van een aantal leveranciers, en bij zoekresultaten in Google wordt vervolgens een waarschuwing gezet. Op die manier komt de beheerder van een domein er sneller achter dat zijn website gecompromitteerd is.

Virusdefinities cruciaal

Conventionele ‘legitieme’ antivirus software detecteert de scareware steeds slechter, aldus Google. Bovendien is het vaak al funest wanneer antivirusdefinities enkele dagen oud zijn vanwege de agressieve tactieken van de cybercriminelen en de hoeveelheid extra energie die zij steken in het inzetten van nieuwe varianten van scareware. Hoewel het soms juist fataal kan zijn, is het dus uiteraard wel aan te raden om virusdefinities ernstig up to date te houden. De detectieratio voor scareware is door dit alles volgens Google tot onder de 20% gezakt.

Bron: Techworld