Lažni "S.M.A.R.T. Repair" alat za 'popravak' hard diska

Zamislite program koji skenira vaše računalo, otkriva neke greške i nudi vam da ih popravi. Mnogi legitimni programi to čine (na primer, antivirusi), ali postoji i mnogo lažnih programa koji ne rade bilo što korisno osim što se pretvaraju da skeniraju vaše računalo, ispravljaju nepostojeće greške dok u stvarnosti nema grešaka i ničega što bi trebalo ispraviti.
Vi niste instalirali takav program, čak i ne znate kako je taj program instaliran na vaše računalo. Jednostavno je tu i pokušava vas prevariti da kupite licencu. Da li ste se ikada zapitali što se dešava kada kupite aktivacijski ključ? Da li će taj program zaista učiniti nešto za vas, ili će samo nestati ili će možda nastaviti da vas ometa? Istraživači proizvođača antivirusa kompanije Avast otkrili su novi program pod nazivom "S.M.A.R.T. Repair".

Kada se pokrene,"S.M.A.R.T. Repair" nestaje s originalne lokacije i kopira se u “Documents and Settings" pod imenom koje je nasumično generirano, na primer "@t)f9K70Sh&Z^.exe" što je prvi znak da je riječ o nečemu sumnjivom. Drugi sumnjiv znak je nemogućnost da iz programa izađete na normalan način. Ako kliknete na “X" u gornjem desnom uglu prozora programa, on će se samo smanjiti (minimizirati). Ukoliko pokušate da kliknete desnom tipkom miša na ikonicu “S.M.A.R.T. Repair" u sistemskoj traci (system tray), vidjet će te da nema opcije za izlazak iz programa. Program odmah počinje skeniranje hard diska da bi na kraju prikazao "otkrivene" greške. Ukoliko korisnik klikne na opciju koja nudi ispravak otkrivenih grešaka (npr. “Repair 7 Issues"), pojavljuje se prozor koji otkriva prave namjere autora programa, a to je natjerati korisnika da kupi licencu.

Kada korisnik pristane na to i plati licencu, zauzvrat dobiva aktivacijski ključ i program “ispravlja" nepostojeće greške na hard disku, zahtjeva da se PC restarta, nakon restartanja ponovo obavlja skeniranje i očekivano, ovoga puta ne pronalazi greške. Pored toga, sada je moguće izaći iz programa desnim klikom miša na ikonicu programa. Tako ste se naizgled otarasili dosadnog programa. Za one koji su pokupili program negdje na internetu i koji sada ne znaju kako da ga se riješe, a da pri tom izbjegnu plaćanje, istraživači Avasta su analizirali ovaj malver i otkrili da je aktivacijski kod 08869246386344953972969146034087. Aktivacijski kod se često mijenja pa ovaj koji su otkrili u Avastu ne mora funkcionirati kod svih varijanti malvera kojeg Avast detektira kao Win32:FakeSysdef. Poruka koju korisnik vidi poslije uspješne registracije programa otkiva neke pojedinosti o prevarantima. Domena je hostana na serveru koji se nalazi u Ujedinjenim Arapskim Emiratima, a pripada ruskom internet provajderu. Brojne druge domene se također hostaju tamo, i registrirani su istog dana od strane sumnjivog kineskog registra.

IZVOR