WinFixer
 | |
 Skärmdump av WinFixers hemsida
| |
Typ av webbplats |
Skrämselföremål |
|---|---|
| Tillgänglig i | engelsk |
| Ägare | Innovativ marknadsföring, Inc. |
| Kommersiell | Nej |
| Registrering | Inte nödvändig |
| Nuvarande status | Stängd av USA:s federala regering |
Innehållslicens |
Inte skyddad av upphovsrättslagar; se ex turpi causa non oritur actio |
WinFixer var en familj av skrämmande säkerhetsprogram utvecklade av Winsoftware som påstod sig reparera datorsystemproblem på Microsoft Windows- datorer om en användare köpte den fullständiga versionen av programvaran. Programvaran installerades huvudsakligen utan användarens medgivande. McAfee hävdade att "den primära funktionen för gratisversionen verkar vara att larma användaren att betala för registrering, åtminstone delvis baserat på falska eller felaktiga upptäckter." Programmet uppmanade användaren att köpa en betald kopia av programmet.
Webbsidan WinFixer (se bilden) sa att det "är ett användbart verktyg för att skanna och fixa alla system-, register- och hårddiskfel. Det säkerställer systemstabilitet och prestanda, frigör slöseri med hårddiskutrymme och återställer skadat Word, Excel, musik och videofiler." Dessa påståenden har dock aldrig verifierats av någon ansedd källa. Faktum är att de flesta källor ansåg att detta program faktiskt minskade systemets stabilitet och prestanda. Webbplatserna lades ner i december 2008 efter åtgärder som vidtagits av Federal Trade Commission .
Installationsmetoder
Applikationen WinFixer var känd för att infektera användare som använder operativsystemet Microsoft Windows , och var webbläsaroberoende. En infektionsmetod involverade trojanen Emcodec.E , en falsk codec- bedrägeri. En annan involverar användningen av Vundo -familjen av trojaner.
Typisk infektion
Infektionen inträffade vanligtvis under ett besök på en distribuerande webbplats med hjälp av en webbläsare. Ett meddelande dök upp i en dialogruta eller popup som frågade användaren om de ville installera WinFixer, eller hävdade att en användares maskin var infekterad med skadlig programvara och bad användaren att köra en gratis genomsökning. När användaren valde något av alternativen eller försökte stänga den här dialogrutan (genom att klicka på 'OK' eller 'Avbryt' eller genom att klicka på hörnet 'X'), skulle det utlösa ett popup-fönster och WinFixer skulle ladda ner och installera sig själv, oavsett användarens önskemål.
"Trial"-erbjudande
Ett gratis "prov"-erbjudande av detta program hittades ibland i popup-fönster. Om "testversionen" laddades ner och installerades, skulle den utföra en "skanning" av den lokala maskinen och ett par icke-existerande trojaner och virus skulle "upptäckas", men inga ytterligare åtgärder skulle vidtas av programmet. För att få en karantän eller borttagning krävde WinFixer köp av programmet. De påstådda oönskade buggarna var dock falska och tjänade bara till att övertala ägaren att köpa programmet.
WinFixer-applikationen
När WinFixer väl installerats, startade ofta popup-fönster och uppmanade användaren att följa dess anvisningar. På grund av det komplicerade sättet på vilket programmet installerade sig självt i värddatorn (inklusive att göra dussintals registerredigeringar), skulle framgångsrik borttagning ha tagit ganska lång tid om det gjorts manuellt. När den kördes kunde dess process hittas i Aktivitetshanteraren och stoppas, men skulle automatiskt starta om sig själv efter en tid.
WinFixer var också känt för att modifiera Windows-registret så att det startade automatiskt vid varje omstart och skannade användarens dator.
Firefox popup
Webbläsaren Mozilla Firefox var sårbar för initial infektion av WinFixer. När WinFixer väl installerats var det känt att utnyttja SessionSaver-tillägget för webbläsaren Firefox . Programmet orsakade popup-fönster vid varje start som bad användaren att ladda ner WinFixer genom att lägga till rader som innehåller ordet 'WinFixer' till filen prefs.js.
Borttagning
Borttagning av WinFixer visade sig vara svårt eftersom det aktivt ångrade allt användaren försökte. Ofta skulle procedurer som fungerade på ett system inte fungera på ett annat eftersom det fanns ett stort antal varianter. Vissa webbplatser tillhandahåller manuella tekniker för att ta bort infektioner som automatiska rensningsverktyg inte kunde ta bort.
Domänägande
Företaget som tillverkade WinFixer, Winsoftware Ltd., påstod sig vara baserat i Liverpool, England (Stanley Street, postnummer: 13088.) Denna adress visade sig dock vara falsk.
Domänen WINFIXER.COM i whois -databasen visade att den ägdes av ett ogiltigt företag i Ukraina och ett annat i Warszawa , Polen . Enligt Alexa Internet ägdes domänen av Innovative Marketing, Inc., 1876 Hutson St, Honduras.
Enligt det publika nyckelcertifikatet som tillhandahålls av GTE CyberTrust Solutions , Inc. , drevs servern secure.errorsafe.com av ErrorSafe Inc. på 1878 Hutson Street, Belize City, BZ.
Att köra traceroute på Winfixer-domäner visade att de flesta av domänerna var värd från servrar på setupahost.net, som använde Shaw Business Solutions AKA Bigpipe som sin ryggrad.
Teknisk information
Teknisk
WinFixer var nära besläktad med Aurora Networks Nail.exe kapare/spionprogram. I värsta fall skulle den bädda in sig själv i Internet Explorer och bli en del av programmet, och därmed vara nästan omöjlig att ta bort. Programmet var också nära relaterat till Vundo -trojanen.
Varianter
Windows Police Pro
Windows Police Pro var en variant av WinFixer. David Wood skrev i Microsoft TechNet att i mars 2009 såg Microsoft Malware Protection Center ASC Antivirus, virusets första version. Microsoft upptäckte inga ändringar av viruset förrän i slutet av juli samma år då en andra variant, Windows Antivirus Pro, dök upp. Även om flera nya virusversioner sedan dess har dykt upp har viruset bara bytt namn en gång till Windows Police Pro. Microsoft lade till viruset i sitt verktyg för borttagning av skadlig programvara i oktober 2009.
Viruset genererade många ihållande popup-fönster och meddelanden som visar falska skanningsrapporter avsedda att övertyga användare om att deras datorer var infekterade med olika former av skadlig programvara som inte existerar. När användare försökte stänga popup-meddelandet fick de bekräftelsedialogrutor som bytte knapparna "Köp fullständig version" och "Fortsätt utvärdera". Windows Police Pro genererade ett förfalskat Windows Security Center som varnade användare om den falska skadliga programvaran.
Bleeping Computer och den syndikerade "Propeller Heads"-kolumnen rekommenderas att använda Malwarebytes Anti-Malware för att ta bort Windows Police Pro permanent. Microsoft TechNet och Softpedia rekommenderade att du använder Microsofts verktyg för borttagning av skadlig programvara för att bli av med skadlig programvara .
Effekter på allmänheten
Grupptalan
Den 29 september 2006 lämnade en kvinna från San Jose in en stämningsansökan över WinFixer och tillhörande "bedrägeriprogram" i Santa Clara County Superior Court; 2007 lades dock stämningen ned. I rättegången anklagade kärandena för att WinFixer-programvaran "till slut gjorde hennes dators hårddisk oanvändbar. Programmet som infekterade hennes dator matade också ut hennes CD-ROM-enhet och visade virusvarningar."
Annonser på Windows Live Messenger
Den 18 februari 2007 rapporterade en blogg som heter "Spyware Sucks" att den populära snabbmeddelandeapplikationen Windows Live Messenger oavsiktligt hade marknadsfört WinFixer genom att visa en WinFixer-reklam från en av Messengers annonsvärdar . En liknande händelse rapporterades också på vissa MSN Groups- sidor. Det fanns andra rapporter före den här (en från Patchou, skaparen av Messenger Plus! ), och folk hade kontaktat Microsoft om incidenterna. Whitney Burk från Microsoft utfärdade detta problem i sitt officiella uttalande:
Microsoft underrättades om skadlig programvara som visades genom annonser som placerades i Windows Live Messenger-banner. Som ett resultat av detta meddelande undersökte vi omedelbart rapporterna och tog bort de stötande annonserna, eftersom detta strider mot vår annonsvisningspolicy. Vi kan bekräfta att annonserna inte längre visas av något Microsoft-system. Vi ber om ursäkt för besväret och granskar vår godkännandeprocess för annonser för att minska risken för att en händelse som denna ska hända igen. För att hjälpa kunder att skydda sina datorer från hot mot skadlig programvara rekommenderar Microsoft att kunderna följer vår vägledning för Skydda din PC på www.microsoft.com/protect .
— Whitney Burk, Microsoft
nationella handelsinstitutet
Den 2 december 2008 begärde och mottog Federal Trade Commission ett tillfälligt besöksförbud mot Innovative Marketing, Inc., ByteHosting Internet Services, LLC och individerna Daniel Sundin, Sam Jain , Marc D'Souza, Kristy Ross och James Reno, skaparna av WinFixer och dess systerprodukter. Klagomålet hävdade att produkternas reklam, såväl som själva produkterna, bröt mot USA:s konsumentskyddslagar. Men Innovative Marketing struntade i domstolsbeslutet och bötfälldes 8 000 USD per dag i civilförakt.
Den 24 september 2012 bötfälldes Kristy Ross 163 miljoner dollar av Federal Trade Commission för sin del i detta. Artikeln fortsätter med att säga att WinFixer-programvaran helt enkelt var en nackdel men erkänner inte att det faktiskt var ett program som gjorde många datorer oanvändbara.
Anteckningar
externa länkar
- McAfee's Entry på WinFixer
- Symantecs inlägg på WinFixer och borttagningsinstruktioner
- Symantecs inlägg på ErrorSafe - ett systerprogram för spionprogram
- FTC klagomål