Para começar, vamos ver como os antivírus falsos se introduzem nos computadores dos utilizadores. Para a sua propagação usam-se os mesmos métodos que para a difusão da maioria dos programas nocivos, por exemplo, a descarga oculta mediante instaladores de troianos, e a exploração das vulnerabilidades dos sítios Web afectados/infectados.

Mas, com mais frequência, é o próprio utilizador que descarrega uma FraudTool para no seu computador. Para consegui-lo, os malfeitores utilizam programas especiais (Hoax) e publicidade na Internet.

O Hoax é outra variante dos programas maliciosos. O seu objectivo principal é convencer o utilizador da necessidade de descarregar o antivírus “mágico” e instalar o programa falso no sistema, inclusive se o utilizador o rejeita.

Regra geral, os Hoax introduzem-se nos computadores utilizando backdoors ou explorando as vulnerabilidades de um sítio Web. Uma vez instalado o programa, aparece uma janela com uma advertência dizendo que o sistema contém muitos erros, o registry está corrompido ou foram roubados dados confidenciais.

São muito frequentes as falsas advertências sobre a possível infecção do computador por programas “espiões”, assim como os convites para instalar um “eliminador de spyware”. Qualquer que seja a resposta do utilizador será realizada a tentativa de descarregar e instalar esta FraudTool.

Para a difusão dos pseudo-antivírus os burlões utilizam igualmente a propaganda na Internet. Hoje em dia, muitos sítios Web publicam banners com informação sobre um novo produto “mágico” que elimina todos os problemas. Inclusive em sites legítimos é elevada a probabilidade de se encontrar um banner a piscar ou um inoportuno anúncio flash do “novo antivírus”. Além disso, na janela do browser do utilizador podem aparecer janelas emergentes (pop-ups) com ofertas para descarregar um antivírus grátis. Normalmente, uma janela deste tipo não permite ao utilizador escolher nada, pois apresenta apenas um botão «OK» ou «YES». Mesmo quando parece que é possível rejeitar a oferta, o falso antivírus descarrega-se independentemente do botão escolhido pelo utilizador – «YES» ou «NO».

Recentemente os especialistas da Kaspersky Lab descobriram um modo de download automático dos pseudo-antivírus. Por exemplo, no endereço ********.net/online-j49/yornt.html estava publicado um script que configurava um endereço do tipo http://******.mainsfile.com.com/index.html?Ref='+encodeURIComponent(document.referrer). O endereço era gerado em função do Website a partir do qual o utilizador chegava à página com o script (esta possibilidade ocorre graças à funcionalidade document.referer). No nosso caso, o destino final era http://easyincomeprotection.cn/installer_90001.exe, onde os especialistas da Kaspersky Lab detectaram um novo falso antivírus: o FraudTool.Win32.AntivirusPlus.kv.

A difusão dinâmica permite aos malfeitores ocultar os endereços IP das páginas a partir das quais são descarregados os programas nocivos, o que dificulta a recepção dos arquivos pelas empresas de antivírus, e, em consequência, a sua detecção. Este tipo de difusão também é frequentemente utilizado por muitos worms e vírus populares.

Assim, o worm de rede Net-Worm.Win32.Kido.js, fundamento das botnets, usa a tecnologia DDNS, e também descarrega e instala no sistema um falso antivírus – FraudTool.Win32.SpywareProtect2009.s. Isto quer dizer que o mais provável é que o mesmo grupo de criadores de vírus se ocupe tanto dos worms de rede como dos falsos antivírus, e os primeiros são utilizados para instalar os segundos sem obstáculos.


Já sabemos como os falsos antivírus podem penetrar no sistema. Agora é preciso compreender o que fazem a seguir.

O primeiro passo é fazer o scan do sistema. Durante o scan, o pseudo-antivírus apresenta mensagens com uma sequência muito bem pensada: por exemplo, um erro do Windows, a detecção de programas nocivos e a necessidade de instalar um antivírus. Às vezes, para demonstrar ao utilizador o funcionamento do programa, juntamente com o pseudo-antivírus é instalado um arquivo determinado no computador que é detectado durante o scanning.

O falso antivírus disponibiliza-se para corrigir os erros supostamente detectados e desinfectar o sistema, mas agora a troco de dinheiro. Quanto mais fidedigna é a imitação das acções do software sério e legal, mais possibilidades têm os burlões de receber o pagamento pelo “trabalho” do falso antivírus.

Como exemplo, examinaremos as acções dos FraudTool.Win32.DoctorAntivirus e FraudTool.Win32.SmartAntivirus2009. Nas capturas de ecrã seguintes é fácil de ver como encontram problemas que não existem de verdade no Windows XP Professional Service Pack 2, e ainda que pedem dinheiro pela activação do produto. Por exemplo, o DoctorAntivirus detectou 40 backdoors, troianos e programas “espiões”, e advertiu que a sua existência pode causar vários erros do sistema. Outro falso doutor, o SmartAntivirus2009, encontrou mais problemas, e também mencionou o perigo destes.

Ao clicar no botão de eliminação de ameaças, em ambos os casos, aparece uma janela que propõe comprar o produto falsificado. Se o utilizador decide comprar o “antivírus”, são-lhe oferecidos vários modos de pagamento – PayPal, American Express, etc. Uma vez realizado o pagamento, o utilizador recebe um código para se poder registar. Para que o utilizador não se aperceba da fraude, em ambos os casos o código é correctamente verificado – não é possível introduzir dados ao acaso.

Importa salientar que as janelas de activação do DoctorAntivirus e do SmartAntivirus2009 são quase idênticas. Isso permite supor que os produtores de programas deste tipo podem usar um gerador de código que modifica somente algumas linhas e estilos das janelas sem mudar tudo o resto.

Normalmente, a necessidade de pagar está disfarçada como activação da versão de teste, por exemplo, na captura de ecrã mais abaixo. Também se informa o utilizador da elevada qualidade do trabalho e do suporte técnico do produto, uma vez realizada a sua “activação”.

Numa janela com a oferta para activar o Smart-Anti-Spyware é claramente visível que a procedência do produto oferecido é russa. O mais interessante é o modo de pagamento – através do envio de um SMS para um número curto. Lembramos que o roubo de dinheiro aos utilizadores mediante SMS enviados a números Premium é activamente praticado para a realização de vários tipos de fraude no sector russo de Internet.

Como já mencionámos mais em cima, o design gráfico de algumas janelas dos antivírus falsos é idêntica em muitos casos, já que provavelmente, os autores de programas deste tipo usam o mesmo gerador de código para criá-los.

É significativo que, para lutar contra os antivírus, os programas falsos utilizem os mesmos mecanismos que se usam com frequência em muitos worms polimórficos e vírus. Para ser mais exactos, através da encriptação dos dados oculta-se o corpo básico do programa que normalmente contém as linhas e os enlaces em acesso aberto. Para que o programa funcione, introduz-se um código dinâmico no arquivo; este código decifra o corpo, antes de passar à funcionalidade básica.

Como exemplo, examinaremos dois antivírus típicos: os FraudTool.Win32.MSAntivirus.cg e FraudTool.Win32.MSAntispyware2009.a. São representantes de duas famílias diferentes, mas ambos estão protegidos por descritores polimórficos idênticos. Mais abaixo mostramos partes de arquivos de ambas as FraudTools que contêm decifradores. Ambos os arquivos têm estrutura idêntica.

O uso de templates pré-elaboradas permite criar inúmeros programas do mesmo tipo sem gastar muito tempo, assim como evitar a detecção por assinaturas clássicas de antivírus. Hoje em dia, os pseudo-antivírus reproduzem-se em cadeia, e a evolução da FraudTool centra-se na complicação do corpo do programa, de modo a dificultar a detecção das assinaturas pelos antivírus. Deste modo, é quase impossível detectar os pseudo-antivirus usando as assinaturas heurísticas que se baseiam na análise do comportamento. Isso deve-se principalmente ao facto de, para os utilizadores, ser tecnicamente muito difícil distinguir um programa falso que se abre numa janela separada, de um programa legítimo. Isto é, se o arquivo executável não está comprimido por um compilador ilegal, é possível detectá-lo somente mediante uma análise manual, o que dificulta muito a detecção automática de novas versões dos falsos antivírus.


Embora a infecção do computador causada por antivírus falsos não danifique o sistema, ao usá-los, os burlões roubam facilmente dinheiro aos utilizadores pouco experientes. Uma interface vistosa e impressionante, uma série de mensagens alarmantes sobre a infecção do computador e os apelos para comprar “o produto” podem desorientar o utilizador e levá-lo a entregar o dinheiro aos burlões. Para agir com segurança, é preciso memorizar várias regras.

Se no seu computador se activou um antivírus desconhecido, é preciso estudá-lo atentamente – verificar a existência de suporte técnico e de página Web oficial. A sua ausência significa que é uma falsificação.

Devemos recordar que nenhum programa legal destinado à luta contra o software nocivo verifica primeiro o computador e pede depois dinheiro para a sua activação. Caso se depare com um comportamento deste tipo num produto antivírus desconhecido, nunca pague pela sua utilização! É melhor instalar uma solução antivírus legal, dum distribuidor reconhecido, para livrar-se da infecção no computador.

Devemos ter em conta apenas as notificações do antivírus que já tivermos instalado, e ignorar as pop-ups arbitrárias sobre infecções do computador, que podem aparecer ao visitar algumas páginas Web. Não clique sobre janelas desse tipo, ainda que tenham conseguido ultrapassar a protecção do navegador ou duma suite de segurança. Esta simples regra evitará que 99 por cento dos programas falsos entrem no seu computador.

É triste que os programas criados para enganar os utilizadores se estejam a tornar cada vez mais populares.

Agora já não se trata apenas de falsificações isoladas, mas sim de novos códigos gerados em quantidades industriais. Hoje em dia, este tipo de programas falsos desenvolve-se activamente – desde as formas e escalas da sua difusão até aos métodos de evitar os antivírus.

É possível supor que, com o tempo, o desenvolvimento dos pseudo-antivírus será centrado na sofisticação dos métodos para evitar os antivírus. O mais provável é que o número destes programas continue a aumentar, da mesma forma que o número de utilizadores burlados. Creio que no futuro veremos novos e interessantes representantes da família FraudTools.

A crescente fama dos pseudo-antivírus permite deduzir que geram grandes lucros aos burlões, e quanto mais medo tiver o utilizador, maior será a possibilidade de os ciber-delinquentes receberem o seu dinheiro. Mais uma vez insistimos em propor a todos os utilizadores que instalem um bom programa antivírus legítimo nos seus computadores. Isso permitir-lhes-á estarem seguros quanto à protecção do computador e não desbaratar o seu dinheiro.

{mosgoogle}