Google：恐吓性软件已成为重要恶意软件威胁形式

　　在即将举行的“网络上假药：冒牌杀毒软件在互联网上分布报告”研讨会上，Google的安全团队即将发布一份报告，显示了他们历时13个月关于“假冒安全软件”的研究成果，此类软件我们也可以称之为恐吓性软件(Scareware)或者冒牌杀毒软件(Fake AV)。

为了避免被用户识破，冒牌杀毒软件周期性的更改他们的名字和程序GUI，不过他们的意图是唯一的，就是欺骗用户上当。

　　Google的一些主要研究成果：

　　· 此次分析基于24亿个网页样本。

　　· 在样本中，有11000个域名包含有冒牌杀毒软件

　　· 冒牌杀毒软件占到Google所有在网上检测出的恶意软件数量的15%

　　· 通过冒牌杀毒软件实施的攻击占到了恶意软件攻击总数的60%

　　· 假冒安全软件应该为50%的恶意软件广告推送负责

　　对于这些调查成果，你的第一印象是什么?尽管这只是一个小范围的研究，但我们可以确定的是，有60%的恐吓性软件在进行劫持工作，并且恶意软件的广告推送中有50%是冒牌杀毒软件。

　　多年来，恐吓性软件和恶意软件已经滥用“Google趋势”进行犯罪。犯罪使用“Google趋势”来分析热门关键字，并且对这些关键字进行SEO。

　　尽管只是较小比例，但仍然有一部分恶意程序利用合法的广告来传播(恶意软件病毒包通过Google Adwords来进行传播，恐吓性软件使用Google的赞助商链接)，Malvertising(合成词，指的是通过合法广告advertising来传播恶意软件malware)已经成为趋势。

　　网络犯罪如何让他们的软件出现在Google搜索结果的前面呢?其实从Web开始的早期，罪犯们就一直在通过内容伪装的方式做搜索引擎优化。虽然Google在它们的算法中使用了noindex, nofollow, noarchive这些Tag，仍然有黑客能够突破，在黑帽SEO挑战赛上，有人就给出了如下代码：

　　“var ref,i,is_se=0; var se = new Array(”google.“,”msn.“,”yahoo.“,”comcast.“,”aol.“); if(document.referrer)ref=document.referrer; else ref=”"; for(i=0;i<5;i++”

　　由于搜索引擎爬虫没有使用http跟踪，没有在流量网页中使用用户代理，网络罪犯可以轻松的利用这点掩盖其传播恶意软件的痕迹。有时候甚至是安全研究人员也无法根据URL判断出犯罪软件的真实地址。

　　防止恐吓性软件入侵的几点提示：

　　· 阅读ZDNet的防恐吓性软件指南，它解释了恐吓性软件的基础，以及网络罪犯使用它的方法以及用此类软件尽心诈骗的主要特征。更有意思的是，它告诉你社会工程学的原理以及黑客们常用的伎俩。

　　· 99%的恐吓性软件试图感染用户，但用户最终控制了局面。剩下的1%是通过恐吓性软件客户端来攻击或者利用社会工程学手段在用户不知情的情况下植入。比如这些软件最喜欢用的广告语：“您的电脑被感染了，请安装XX杀毒软件。”学习这些犯罪常用的用语有利于帮助你识别网络犯罪并且躲避它们。

　　· 恐吓性软件中还包含一类“勒索软件”。一些勒索软件会锁定你的电脑，或者对硬盘上的某些文件进行加密，让你支付赎金来解锁这些数据。这时候我们需要确保我们的反病毒软件正常工作，对其进行查杀。

　　· 由于恐吓性软件现在已经能够很智能的对他们的名字进行重组，所以没有必要去验证名字诸如“Mega Antivirus Solution 2010”这样的杀毒软件真实性(这是山寨的McAfee)。通过SEO优化，很多恐吓性软件会宣传他们可以清除“冒牌杀毒软件A”，实际上，在清除了A之后，你系统里面又多了“冒牌杀毒软件B”了。表面上他们在帮你检测威胁，实际上，他们让你的电脑更加危险。

　　· 通过沙盘来运行浏览器，并在沙盘里面浏览网页，使用最小权限的帐户，并且及时的更新系统和软件的补丁。

　　预计Google将在这个月底发布完整的报告。对于企业而言，使用SafeBrowsing这样的类似搜索结果过滤的服务可以有效的降低风险，这也应该是现代浏览器的一个不可分割的组成部分，我们期待在公众中推广这些服务。(国内目前提供此类服务的有金山网盾、360网盾、傲游浏览器2等软件)