WinFixer
 | |
 Zrzut ekranu strony głównej WinFixer
| |
Rodzaj witryny |
straszenie |
|---|---|
| Dostępne w | język angielski |
| Właściciel | Innowacyjny Marketing, Inc. |
| Handlowy | NIE |
| Rejestracja | Nie wymagane |
| Aktualny stan | Zamknięty przez rząd federalny Stanów Zjednoczonych |
Licencja na zawartość |
Niechronione prawami autorskimi; patrz ex turpi causa non oritur actio |
WinFixer to rodzina nieuczciwych programów zabezpieczających typu scareware opracowanych przez firmę Winsoftware, które twierdziły, że naprawiają problemy z systemem komputerowym na komputerach z systemem Microsoft Windows , jeśli użytkownik zakupi pełną wersję oprogramowania. Oprogramowanie było instalowane głównie bez zgody użytkownika. McAfee twierdził, że „podstawową funkcją darmowej wersji wydaje się być alarmowanie użytkownika, aby zapłacił za rejestrację, przynajmniej częściowo w oparciu o fałszywe lub błędne wykrycia”. Program zachęcał użytkownika do zakupu płatnej kopii programu.
Strona internetowa WinFixer (patrz obrazek) mówi, że „jest to przydatne narzędzie do skanowania i naprawiania wszelkich błędów systemu, rejestru i dysku twardego. Zapewnia stabilność i wydajność systemu, zwalnia zmarnowane miejsce na dysku twardym i odzyskuje uszkodzone programy Word, Excel, muzykę i plików wideo”. Jednak te twierdzenia nigdy nie zostały zweryfikowane przez żadne renomowane źródło. W rzeczywistości większość źródeł uważała, że ten program faktycznie zmniejsza stabilność i wydajność systemu. Witryny przestały istnieć w grudniu 2008 r. po działaniach podjętych przez Federalną Komisję Handlu .
Metody instalacji
Wiadomo, że aplikacja WinFixer infekowała użytkowników korzystających z systemu operacyjnego Microsoft Windows i była niezależna od przeglądarki. Jedna z metod infekcji obejmowała trojana Emcodec.E , fałszywego oszustwa związanego z koderami-dekoderami. Inny wiąże się z wykorzystaniem rodziny trojanów Vundo .
Typowa infekcja
Infekcja zwykle następowała podczas wizyty na stronie dystrybucyjnej za pomocą przeglądarki internetowej. W oknie dialogowym lub wyskakującym okienku pojawił się komunikat z pytaniem, czy użytkownik chce zainstalować WinFixer, lub twierdził, że komputer użytkownika został zainfekowany złośliwym oprogramowaniem i prosił użytkownika o uruchomienie bezpłatnego skanowania. Gdy użytkownik wybierze którąkolwiek z opcji lub spróbuje zamknąć to okno dialogowe (klikając 'OK' lub 'Anuluj' lub klikając róg 'X'), uruchomi się okno pop-up, a WinFixer sam się pobierze i zainstaluje , niezależnie od życzeń użytkownika.
Oferta „próbna”.
W wyskakujących okienkach czasami znajdowała się bezpłatna oferta „próbna” tego programu. Jeśli wersja „próbna” została pobrana i zainstalowana, wykonałaby „skanowanie” komputera lokalnego i „wykryłaby” kilka nieistniejących trojanów i wirusów, ale program nie podjąłby żadnych dalszych działań. Aby uzyskać kwarantannę lub usunięcie, WinFixer wymagał zakupu programu. Jednak rzekome niechciane błędy były fałszywe i służyły jedynie nakłonieniu właściciela do zakupu programu.
Aplikacja WinFixer
Po zainstalowaniu WinFixer często uruchamiał wyskakujące okienka i prosił użytkownika o podążanie za jego wskazówkami. Ze względu na zawiły sposób, w jaki program instalował się na komputerze hosta (w tym dokonywanie dziesiątek zmian w rejestrze), pomyślne usunięcie zajęłoby dość dużo czasu, gdyby zostało wykonane ręcznie. Podczas działania jego proces można było znaleźć w menedżerze zadań i zatrzymać, ale po pewnym czasie automatycznie uruchomiłby się ponownie.
WinFixer był również znany z modyfikowania rejestru systemu Windows , tak aby uruchamiał się automatycznie przy każdym ponownym uruchomieniu i skanował komputer użytkownika.
Wyskakujące okienko Firefoksa
Przeglądarka Mozilla Firefox była podatna na początkową infekcję przez WinFixer. Po zainstalowaniu WinFixer był znany z wykorzystywania rozszerzenia SessionSaver dla Firefox . Program powodował wyskakujące okienka przy każdym uruchomieniu, prosząc użytkownika o pobranie WinFixera, dodając wiersze zawierające słowo „WinFixer” do pliku prefs.js.
Usuwanie
Usunięcie programu WinFixer okazało się trudne, ponieważ aktywnie cofał wszelkie próby użytkownika. Często procedury, które działały w jednym systemie, nie działały w innym, ponieważ istniała duża liczba wariantów. Niektóre witryny oferowały ręczne techniki usuwania infekcji, których nie mogły usunąć automatyczne narzędzia do czyszczenia.
Własność domeny
Firma, która stworzyła WinFixer, Winsoftware Ltd., twierdziła, że ma siedzibę w Liverpoolu w Anglii (Stanley Street, kod pocztowy: 13088). Jednak okazało się, że ten adres jest fałszywy.
Domena WINFIXER.COM w bazie danych whois wykazała, że była własnością nieważnej firmy na Ukrainie i innej w Warszawie w Polsce . Według Alexa Internet , domena była własnością Innovative Marketing, Inc., 1876 Hutson St, Honduras.
Zgodnie z certyfikatem klucza publicznego dostarczonym przez GTE CyberTrust Solutions , Inc., serwer secure.errorsafe.com był obsługiwany przez ErrorSafe Inc. pod adresem 1878 Hutson Street, Belize City, BZ.
Uruchomienie traceroute w domenach Winfixer wykazało, że większość domen była hostowana z serwerów w setupahost.net, które wykorzystywały Shaw Business Solutions AKA Bigpipe jako szkielet.
Specyfikacja
Techniczny
WinFixer był blisko powiązany z programem porywacza/spyware Nail.exe firmy Aurora Network. W najgorszym przypadku osadza się w Internet Explorerze i staje się częścią programu, przez co jest prawie niemożliwy do usunięcia. Program był również blisko powiązany z Vundo .
Warianty
Windows Police Pro
Windows Police Pro był wariantem WinFixera. David Wood napisał w Microsoft TechNet , że w marcu 2009 r. Microsoft Malware Protection Center zobaczył ASC Antivirus, pierwszą wersję wirusa. Microsoft nie wykrył żadnych zmian w wirusie aż do końca lipca tego roku, kiedy pojawił się drugi wariant, Windows Antivirus Pro. Chociaż od tego czasu pojawiło się wiele nowych wersji wirusa, nazwa wirusa została zmieniona tylko raz, na Windows Police Pro. Firma Microsoft dodała wirusa do swojego narzędzia do usuwania złośliwego oprogramowania w październiku 2009 roku.
Wirus generował liczne uporczywe wyskakujące okienka i komunikaty wyświetlające fałszywe raporty ze skanowania, mające przekonać użytkowników, że ich komputery zostały zainfekowane różnymi formami złośliwego oprogramowania, które nie istnieją. Gdy użytkownicy próbowali zamknąć wyskakujące okienko, otrzymywali okna dialogowe z potwierdzeniem , które przełączały przyciski „Kup pełną wersję” i „Kontynuuj ocenę”. Windows Police Pro wygenerował fałszywe Centrum zabezpieczeń systemu Windows , które ostrzegało użytkowników przed fałszywym złośliwym oprogramowaniem.
Bleeping Computer i konsorcjalna kolumna „Propeller Heads” zalecają użycie Malwarebytes' Anti-Malware w celu trwałego usunięcia Windows Police Pro. Microsoft TechNet i Softpedia zaleciły użycie narzędzia Microsoft do usuwania złośliwego oprogramowania w celu pozbycia się złośliwego oprogramowania.
Wpływ na opinię publiczną
Pozew zbiorowy
W dniu 29 września 2006 r. Kobieta z San Jose złożyła pozew dotyczący WinFixer i powiązanego „oszustwa” w Sądzie Najwyższym Hrabstwa Santa Clara ; jednak w 2007 roku pozew został wycofany. W pozwie powodowie zarzucili, że oprogramowanie WinFixer „ostatecznie sprawiło, że dysk twardy jej komputera stał się bezużyteczny. Program infekujący jej komputer wyrzucił również jej napęd CD-ROM i wyświetlił ostrzeżenia o wirusach”.
Reklamy w programie Windows Live Messenger
18 lutego 2007 r. blog o nazwie „Spyware Sucks” poinformował, że popularny komunikator Windows Live Messenger nieumyślnie promował WinFixer, wyświetlając reklamę WinFixer z jednego z hostów reklam Messengera . Podobne zdarzenie zostało również zgłoszone na niektórych MSN Groups . Były jeszcze inne raporty przed tym (jeden od Patchou, twórcy Messengera Plus! ), a ludzie kontaktowali się z Microsoftem w sprawie incydentów. Whitney Burk z Microsoft przedstawił ten problem w swoim oficjalnym oświadczeniu:
Firma Microsoft została powiadomiona o złośliwym oprogramowaniu, które było rozpowszechniane za pośrednictwem reklam umieszczanych na banerach programu Windows Live Messenger. W wyniku tego powiadomienia natychmiast zbadaliśmy zgłoszenia i usunęliśmy obraźliwe reklamy, ponieważ stanowi to naruszenie naszych zasad wyświetlania reklam. Możemy potwierdzić, że reklamy nie są już wyświetlane przez żaden system firmy Microsoft. Przepraszamy za niedogodności i sprawdzamy nasz proces zatwierdzania reklam, aby zmniejszyć prawdopodobieństwo ponownego wystąpienia takiej sytuacji. Aby pomóc klientom chronić komputery przed zagrożeniami ze strony złośliwego oprogramowania, firma Microsoft zaleca klientom postępowanie zgodnie z naszymi wskazówkami Chroń swój komputer dostępnymi pod adresem www.microsoft.com/protect .
— Whitney Burk, Microsoft
Federalna Komisja Handlu
W dniu 2 grudnia 2008 r. Federalna Komisja Handlu zażądała i otrzymała tymczasowy zakaz zbliżania się do Innovative Marketing, Inc., ByteHosting Internet Services, LLC oraz osób Daniel Sundin, Sam Jain , Marc D'Souza, Kristy Ross i James Reno, twórcy WinFixera i jego siostrzanych produktów. W skardze zarzucano, że reklama produktów, jak również same produkty, naruszają amerykańskie przepisy dotyczące ochrony konsumentów. Jednak Innovative Marketing zlekceważył orzeczenie sądu i został ukarany grzywną w wysokości 8 000 USD dziennie za obrazę cywilną.
24 września 2012 roku Kristy Ross została ukarana grzywną w wysokości 163 milionów dolarów przez Federalną Komisję Handlu za swój udział w tym. Artykuł mówi dalej, że rodzina oprogramowania WinFixer była po prostu oszustwem, ale nie przyznaje, że w rzeczywistości był to program, który sprawił, że wiele komputerów stało się bezużytecznych.