Len pár týždňov po tom, čo bol medializovaný podvod s aplikáciou Windows Movie Maker sa internetom šíri nová hrozba, ktorá sa taktiež snaží z menej skúsených používateľov vytĺcť nejaké tie finančné prostriedky. Škodlivý kód na to využíva falošnú „modrú obrazovku smrti“, ktorá sa zobrazuje pri problémoch s operačným systémom, prípadne hardvérovou výbavou zariadenia.
Útočníci vychádzajú z predpokladu, že väčšina neskúsených používateľov sa jej zľakne, a následne tak môžu ľahko naletieť ponuke na kúpu vymyslenej aplikácie, ktorá má vyriešiť všetky ich problémy so zariadením, vrátane odstránenia predmetnej „obrazovky smrti“.
Škodlivý kód sa má šíriť rôznymi formami, najčastejšie ako súčasť takzvaných pirátskych verzií hier a programov. Do zariadenia obete sa zo vzdialeného serveru stiahne viacero súborov vrátane aplikácie BSOD.exe, ktoré sú strategicky rozmiestnené do priečinkov „%Temp%\csrvc“ a „C:\Program Files\adwizz“. Po spustení počítača sa následne zapnú, pričom blokujú vybrané systémové nástroje ako Správca Úloh alebo Prieskumník.
Problematická knižnica SYSTEM32.dll
Po infikovaní zariadenia dochádza k zobrazeniu falošnej „obrazovky smrti“, čo zároveň sprevádza aj pípanie počítača, vďaka čomu je podvod pomerne presvedčivý. Na dôveryhodnosti pridáva aj skutočnosť, že používateľ je oboznámený s chybou systémovej knižnice SYSTEM32.dll. Na to, že nejde o legitímnu obrazovku smrti ale upozorní fakt, že pri pokuse o jej zrušenie dochádza k spusteniu diagnostického nástroja „Troubleshooting Windows“, k čomu by reálne nedošlo, pokiaľ by operačný systém skutočne „spadol“.
Podvod pokračuje tým, že po kliknutí na tlačidlo „Next“ začne falošný pomocník kontrolovať počítač a vyhľadávať problémy, ktoré majú byť za „modrú obrazovku“ zodpovedné. Používateľa po vykonaní kontroly upozorní na množstvo chýbajúcich knižníc, ktoré ale nedokáže nahradiť.
Riešením má byť „Windows Defender Essentials“ za 25 dolárov
Riešením má byť buď kontaktovanie falošnej technickej podpory alebo zakúpenie vymysleného programu „Windows Defender Essentials“ za sumu 25 dolárov. Útočníci tu zneužívajú názvy známych a oficiálnych nástrojov Windows Defender a Security Essentials, čím sa snažia opäť pridať na dôveryhodnosti svojho podvodu. O platbu žiadajú prostredníctvom služby PayPal. S podvodnou technickou podporou sa bezpečnostným výskumníkom nepodarilo skontaktovať.
Po uhradení spomínanej sumy dochádza k presmerovaniu na webovú adresu s reťazcom „thankuhitechnovation“, ktorý škodlivý softvér identifikuje a následne zobrazí obrazovku s informáciou, že všetky problémy boli vyriešené.
Bezpečnostný expert z firmy Malwarebytes, Djordje Lukic, ktorý na škodlivý kód upozornil, ale dodáva, že tým činnosť škodlivého kódu nekončí. V systéme totiž beží ešte dvojica aplikácií „Scshtrv.exe“ a „Adwizz.exe“. Prvá z nich začne bez vedomia používateľa vytvárať snímky obrazovky a odosielať ich na vzdialený server, pričom tá druhá zobrazuje platené reklamy.
Obetiam pomôže jednoduchý trik
Hoci celý podvod je pomerne sofistikovaný, nachádza sa v ňom veľký nedostatkom, ktorí obetiam pomôže pri infikovaní opätovne získať kontrolu nad svojím zariadením. Akonáhle sa zobrazí okno vyzývajúce na zakúpenie softvéru„ Windows Defender Essentials“ stačí zadať kombináciu kláves „CRTL + O“, čo otvorí dialógové okno. Tam je potrebné zadať adresu „http://hitechnovation.com/thankyou.txt“, čo škodlivý kód presvedčí o tom, že požadovaná platba prebehla a zariadenie prejde do kontroly používateľa. Okamžite po tomto úkone je potrebné systém kompletne skontrolovať niektorým antivírovým riešením.
Spoločnosť Malwarebytes na svojom oficiálnom fóre zverejnila aj podrobný postup ako je možné škodlivý kód ručne odstrániť z infikovaného zariadenia.
Zdroj: Bleepingcomputer, Malwarebytes