18. 12. 2013

Společnost Microsoft vydala upozornění na falešnou aplikaci, která se tváří jako antivirový program a pro zvýšení své důvěryhodnosti využívá ukradené podpisové certifikáty. Aplikace se šíří pod označením Antivirus Security Pro a společnost Microsoft ji označuje jako Win32/Winwebsec. Digitální certifikáty vydané certifikační autoritou (CA) použité pro podpis software mají být pro uživatele ověřením, že program nebyl zfalšován. Pochází od vývojáře, který je uveden jako autor a je pod nimi podepsán. Tyto certifikáty a jejich platnost lze ověřit. Falešný antivirový program používá alespoň tucet ukradených digitálních podpisových certifikátů, vydaných řadou různých certifikačních autorit pro vývojáře softwaru na různých místech po celém světě. Certifikáty byly vydány pro vývojáře z Nizozemí, USA, Ruska, Německa, Kanady a Velké Británie společnostmi jako například VeriSign, Comodo, Thawte a DigiCert.

Charakteristika zranitelnosti

Winwebsec je trojský kůň ze skupiny programů, které tvrdí, že oskenují váš PC na výskyt malware a pak vám zobrazí falešné varování před „škodlivými programy a viry“, které byly údajně nalezeny na vašem PC. Některé z těchto programů se snaží napodobit produkty společnosti Microsoft svým jménem nebo logem. Malware pak opakovaně otevírá okna s falešnými výstražnými zprávami, např. imitujícími Microsoft Security Essentials:

Program pak žádá, abyste zaplatili „registrovanou“ verzi softwaru a mohli tak odstranit neexistující hrozby. Winwebsec upravuje registry systému Windows tak, aby uživateli omezil přístup do některých částí systému napadeného počítače a vytvořil tak iluzi, že stroj je vážně infikovaný. Může také zakázat činnost nebo spuštění vašeho legitimního bezpečnostního softwaru, změnit nastavení úrovně zabezpečení vašeho systému a zakázat přístup na určité webové stránky a může také zobrazit dialogové okno, které napodobuje Windows Security Center. Některé varianty Win32/Winwebsec mohou do PC stáhnout další malware jako např. varianty červů Win32/Swimnag a Win32/Koobface. Winwebsec byl distribuován s mnoha různými názvy a označením:

Název Označení
Antivirus Security Pro
Antiviral Factory 2013
Attentive Antivirus
System Doctor 2014
System Progressive Protection
Disk Antivirus Professional
System Progressive Protection
Live Security Platinum
Essential Cleaner
MS Removal Tool
Security Shield
System Security
Winweb Security
Security Tool
System Tool
Personal Shield Pro
Security Sphere 2012
Smart Protection 2012
Smart Fortress 2012
Smart Guard Protection
Win 8 Security Systém

Postižené systémy

  • Windows 32bit

Dopad zranitelnosti

Win32/Winwebsec provádí změny v systému - mění nastavení zabezpečení, vypíná legitimní bezpečnostní software, blokuje přístup do konfigurace systému, stahuje a instaluje další malware bez vědomí uživatele.

Řešení

Při podezření napadení PC použít některý z bezpečnostních softwarů společnosti Microsoft - Microsoft Security Essentials, Windows Defender, Microsoft Safety Scanner, Microsoft Windows Malicious Software Removal Tool. Při zablokování bezpečnostního software, nebo jeho ukončení malwarem Win32/Winwebsec bude nutné použít nástroj Windows Defender Offline.

Odkazy

http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Rogue:Win32/Winwebsec#tab=1
http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Rogue:Win32/FakePAV#tab=2
http://www.itworld.com/data-protection/390916/bogus-antivirus-program-uses-dozen-stolen-signing-certificates