Перейти к содержанию
Danilka

«Лаборатория Касперского» публикует статью о фальшивых антивирусах «Лжеспасатели»

Recommended Posts

Danilka

«Лаборатория Касперского», публикует аналитическую статью «Лжеспасатели», посвященную фальшивым антивирусам.

Автором статьи является старший вирусный аналитик Группы эвристического детектирования «Лаборатории Касперского» Вячеслав Закоржевский.

В последние несколько лет возросла угроза поддельных антивирусов – программ, которые выводят сообщения об обнаружении вредоносного ПО на компьютере пользователя и предлагают купить лицензию на лечение. На самом деле они ничего не находят и не лечат, целью их авторов является получение мошенническим путем денежных средств от пользователей. Фальшивые антивирусы наносят двойной вред: с одной стороны, мошенники незаконно обогащаются за счет обмана, а с другой у пользователей создается ложное чувство защищенности, и их компьютеры остаются без полноценной защиты.

Согласно классификации «Лаборатории Касперского», фальшивые антивирусы называются FraudTool и относятся к классу RiskWare. На текущий момент в антивирусной базе компании содержатся около 30 тысяч сигнатур для детектирования этого вида ПО, и их число продолжает быстро расти.

Основные способы распространения фальшивых антивирусов такие же, как у большинства вредоносного ПО – скрытая от пользователя загрузка при посещении зараженного сайта, заражение при клике на рекламное сообщение в интернете, инфицирование при открытии почтового вложения и загрузка уже действующими в системе троянскими программами. Однако чаще всего пользователь сам загружает на свой компьютер FraudTool, доверившись сообщению программы класса Hoax («Злые шутки»). Программы Hoax предупреждают пользователя о несуществующих угрозах, например, о возможном вирусном заражении, и предлагают загрузить ПО для проверки и лечения системы. Во многих случаях фальшивка устанавливается в систему даже в случае отказа пользователя.

Для распространения фальшивых антивирусов, как и другого опасного и вредоносного программного обеспечения, киберпреступники используют различные методы маскировки и ухода от детектирования, например, динамическое генерирование адресов сайтов, где происходит заражение, и шифрование тела программы с последующей саморасшифровкой.

Попав в систему, фальшивый антивирус производит псевдосканирование системы (зачастую занимающее меньше времени, чем первая проверка системы настоящим антивирусом) и выдает сообщения о якобы обнаруженных вредоносных программах и модификациях системных ресурсов. Затем FraudTool предлагает исправить «выявленные» ошибки и вылечить систему, уже за деньги. Чем достовернее имитация действий и интерфейса легального защитного ПО, тем больше у мошенников шансов получить плату за «работу» лжеантивируса.

Если пользователь решается на покупку «антивируса», ему предлагается несколько способов оплаты, обычно электронными средствами платежа и/или путем отправки платных SMS-собщений.

Автор статьи отмечает похожее визуальное оформление интерфейса многих фальшивых антивирусов, что указывает на то, что их создатели используют один и тот же генератор кода. Применение готовых инструментов разработки и шаблонов кода позволяет злоумышленникам производить множество однотипных фальшивок без значительных затрат времени.

В статье приводятся статистические данные, отражающие динамику и характер распространения лжеантивирусов с 2007 г. по август 2009 г. Самый резкий рост числа новых сигнатур произошел в мае 2009 года. В настоящее время эксперты «Лаборатории Касперского» выявляют ежедневно 10-20 новых программ, относящихся к Hoax или FraudTool. Для сравнения – еще два-три года назад такие новинки появлялись лишь раз в два дня.

Столь значительное увеличение популярности фальшивых антивирусов за последний год вызвано, в первую очередь, простотой их разработки, отлаженной системой эффективного распространения и высокими прибылями, которые мошенники получают за короткий промежуток времени.

Для защиты от фальшивых антивирусов автор статьи рекомендует придерживаться нескольких правил: проверять наличие техподдержки и официального сайта производителя, не доверять программам, которые вначале сканируют компьютер, а затем требуют деньги за лечение, не обращать внимание на сообщения о заражении компьютера, появляющиеся на сайтах, и, наконец, установить надежное защитное ПО известного легального производителя антивирусных средств.

С полной версией аналитической статьи «Лжеспасатели» можно ознакомиться на сайте http://www.securelist.com/ru/analysis/2080...8/Lzhespasateli

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fox

Там вроде смесь MSE и защитника Windows под видом антивируса не показали. Была такая фишка.. Или я не заметил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexsandr56

Раньше мало знал о таких, теперь знаю поподробнее об этих "лжеспасателях" :) спасибо ЛК за эту статью! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×