Ложный антивирус: обманка как угроза
Интернет-пользователи за последнее десятилетие благополучно привыкли к тому, что львиная доля сервисов, доступных для них в Интернете, – бесплатна. Почтовые сервисы, социальные сети, хранилища файлов, онлайновые офисные и графические пакеты, всевозможные справки, интернет-пейджеры – все это мы получаем бесплатно. Но такая привычка уже начинает играть с нами злые шутки.
Специалисты по компьютерной безопасности предупреждают: в Сети появляется все больше фальшивых антивирусов, выманивающих у пользователей деньги. По данным компании Symantec, сегодня в одних только США насчитывается несколько десятков миллионов компьютеров, зараженных мошенническими программами, за которые пользователи добровольно платят деньги. Подобный класс ПО и сервисов уже получил название rogueware. И сегодня его жертвами все чаще становятся европейцы и русскоязычные интернет-пользователи.
Настоящий взлет ложных антивирусов пришелся на 2009 год. Именно на протяжении минувшего года окончательно сформировалось разделение лжеантивирусов на две группы – действующие в режиме онлайн, и «классические» (инсталлируемые на ПК пользователя). Впрочем, к сегодняшнему дню угроза со стороны ложных антивирусов меньшей не стала. Скорее, наоборот.
Сложились даже своего рода «традиции». Например, на территории России и стран СНГ, а также в Европе киберзлоумышленники более активно используют схемы вымогательства, использующие вредоносные сайты, на страницах которых содержатся так называемые онлайновые лжеантивирусы. Ссылки на такого рода сайты распространяются в основном через электронную почту, взломанные аккаунты систем мгновенного обмена сообщениями (ICQ, AIM, QIP), а также через контекстную рекламу популярных поисковых систем и социальные сети.
В Северной Америке и Юго-Восточной Азии более распространено использование вредоносного ПО класса Trojan.Fakealert. В этом случае создатели якобы антивирусного сайта методами социальной инженерии убеждают пользователя в необходимости загрузить и установить ложную антивирусную программу. Далее эта программа имитирует антивирусное сканирование ПК, «обнаруживает» разного рода вирусы и троянцы, после чего предлагает пользователю отправить платное SMS-сообщение (реже) или провести в онлайне платеж со своей кредитной карты (чаще). В ответ якобы должен придти код активации функций лечения. Более того, нередко некая последовательность цифр действительно приходит, и пользователь вводит ее в окно активации. После этого лжеантивирус имитирует лечение «зараженного» ПК. Пользователь остается доволен и даже не подозревает, что его обманули. Понятное дело, что вся эта процедура не имеет совершенно ничего общего с лечением от зловредов.
Хотя зафиксированы атаки Trojan.Fakealert в том числе и на русскоязычных пользователей, больше всего пострадавших от данного типа угроз приходится на англоязычные страны. Там представители семейства Trojan.Fakealert обычно предлагают жертве замаскированной атаки оплатить «антивирус» банковской карточкой. Сумма перевода в этом случае составляет $50 и выше. Предложение об оплате «полнофункциональной версии антивируса» может выводиться как в интернет-браузере, так и непосредственно в интерфейсе лжеантивируса.
Если проанализировать статистику распространения Trojan.Fakealert начиная с осени прошлого года, становится очевидным, что с октября 2009 года данный тип вредоносных программ является одним из наиболее популярных у злоумышленников, действующих в Сети. Если посмотреть на двадцатку вредоносных программ в почтовом трафике, самых распространенных в феврале нынешнего года, то в ней можно увидеть сразу восемь модификаций Trojan.Fakealert.
Антивирусная компания «Доктор Веб» уже обнародовала ряд советов, которые помогут пользователям не стать жертвами мошенников, применяющих лжеантивирусы для получения нелегальных доходов. Напомню, что в России и странах СНГ наибольшее распространение получили мошеннические сайты, которые графически имитируют процесс сканирования антивируса, не заражая пользователя никакой вредоносной программой. Что касается способов оплаты, посредством которых злоумышленники получают доходы от распространения лжеантивирусов, то в России и СНГ это платные SMS-сообщения (стоимостью в среднем от 150 до 300 российских рублей).
Однако в конце февраля появился первый сайт на русском языке, который не только имитирует процедуру антивирусного сканирования, но и предлагает пользователю скачать некий дистрибутив, за которым скрывается один из представителей семейства Trojan.Fakealert.
Для справки: первые лжеантивирусы появились в Сети еще в 2005 году и тогда же были выделены в семейство вредоносных программ Trojan.Fakealert. Однако тогда подобные зловреды широкого распространения не получили. Массовое распространение троянцев – фальшивых антивирусов началось в середине 2009 года.
Согласно недавнему отчету Центра по предотвращению преступлений в Интернете (Internet Crime Complaint Center) ФБР США, интернет-мошенники, распространяющие в Сети поддельное антивирусное ПО, уже заработали на обманутых ими пользователях порядка $500 млн. Авторы отчета также предупреждают, что злоумышленники все активнее распространяют поддельные антивирусы, размещая всплывающую рекламу на популярных сайтах, в том числе и абсолютно легальных.
По данным ФБР, в конце минувшего года основная доля лжеантивирусов распространялась в виде файла с названием install.exe, упакованного в ZIP- архив. Данный архив предлагался в качестве обновления используемой почтовой системы (при этом сообщение было написано от имени администратора почтового сервера, который используется) или же обновления конкретно почтового клиента Microsoft Outlook.
Также файлы этого типа распространялись в письмах, в которых говорилось о том, что пользователь нарушает авторские права, загружая из Интернета объекты авторского права, и в приложенном архиве находится распечатка подозрительной активности пользователя за последние шесть месяцев. Кроме того, файл install.zip, содержащий очередную модификацию Trojan.Fakealert, выдавался киберпреступниками за утилиту для лечения локальной сети от сетевого червя Conficker (Win32.HLLW.Shadow.based по классификации Dr.Web).
Впрочем, все чаще дело не ограничивается простым выманиванием денег у обманутых пользователей. Новые подделки хакеров выглядят точно как настоящее ПО для борьбы с червями и троянами (причем в большинстве случаев бесплатное), но при этом программы на самом деле воруют пользовательские данные, а также дают злоумышленникам контроль над зараженной машиной. Всего за последнее время эксперты компании Symantec выявили порядка 250 разновидностей опасных программ с характерными названиями вроде Antivirus 2010 или SpywareGuard 2008. В совокупности они были загружены около 43 млн раз на протяжении 2009 года.
Вице-президент Symantec Винсент Уифер поясняет: «Они получают все – данные о ваших кредитных картах, ваши персональные данные и даже доступ к вашему ПК. Более того, ваш компьютер может стать одной из зомби-машин какого-нибудь ботнета».
Специалисты другой антивирусной компании, Panda Security, также бьют тревогу: они обнаружили еще одну разновидность мошеннического ПО. Программа под названием TotalSecurity2009 полностью блокирует работу всех приложений на компьютере до тех пор, пока пользователь не заплатит $49,95 за двухлетнюю лицензию или $79,95 за пожизненную лицензию на поддельный антивирус.
Как отмечают специалисты Panda Security, хакеры подошли к делу весьма основательно: фальшивый защитный комплекс имеет весьма убедительный интерфейс с множеством настроек и возможностью использования на нескольких языках. Чтобы пользователи могли хотя бы частично обезвредить вредоносное ПО, экспертам из Panda Security пришлось заняться своеобразным пиратством, выложив на своем сайте серийные номера от фальшивого антивируса.
Также все чаще встречается ситуация, когда администраторы вполне легальных сайтов оказываются в сговоре с распространителями ложного антивируса. При переходе пользователя на такой сайт на экране возникает сообщение о том, что на его компьютере якобы обнаружен один или сразу несколько вирусов. И тут же предлагается скачать бесплатную программу для удаления этих вирусов.
Скачанная, инсталлированная и запущенная программа, обосновавшись на ПК, продолжает сообщать о нахождении вирусов и указывает на необходимость купить платную версию, которая якобы лучше и способна с этими вирусами справиться. В случае своего согласия, пользователь платит за программное обеспечение, которое фактически ничего не делает. Иногда программа предлагается на платной основе с самого начала.
Администраторы, которые позволяют размещать подобные загрузки на своих сайтах, получают с каждого клика от 1 до 55 центов, утверждают в Symantec. Таким образом, доход посредников между разработчиками rogueware и пользователями, загружающими программы этого класса, за 2009 год составил в одних только США от $430 тыс. до $23,7 млн. Дать сколько-нибудь более точную оценку пока не представляется возможным.
Специалисты Panda Security говорят: «Злоумышленникам больше не нужно воровать персональную информацию пользователей для того, чтобы завладеть их счетами. При помощи ложных антивирусов они заставляют пользователя отдавать им деньги и все личные данные добровольно». По информации Panda Security, ежемесячно ложным антивирусным ПО инфицируется около 35 млн персональных компьютеров в мире.
А по данным антивирусной компании Sophos, партнерские сети, через которые распространяются ложные антивирусы, существуют уже давно и многие их них вполне законны. При этом значительная часть самых крупных и сомнительных партнерских программ расположены в России. Теперь эксперты советуют пользователям Рунета не доверять предложениям на сомнительных сайтах. А также напоминают, что настоящие производители антивирусного ПО вроде «Лаборатории Касперского», Eset или тех же Symantec и Panda Security никогда не станут проверять компьютер пользователя без его спроса и ведома. На сайтах производителей действительно существует возможность проверить компьютер онлайн или скачать пробный дистрибутив, но воспользоваться этим предложением можно только самостоятельно.
Однако пока разработчики лжеантивирусов успешно пользуются низкой квалификацией и наивностью большинства интернет-пользователей, а также всеобщим страхом перед вирусами и прочим вредоносным ПО.
Денис Лавникевич
Специалисты по компьютерной безопасности предупреждают: в Сети появляется все больше фальшивых антивирусов, выманивающих у пользователей деньги. По данным компании Symantec, сегодня в одних только США насчитывается несколько десятков миллионов компьютеров, зараженных мошенническими программами, за которые пользователи добровольно платят деньги. Подобный класс ПО и сервисов уже получил название rogueware. И сегодня его жертвами все чаще становятся европейцы и русскоязычные интернет-пользователи.
Настоящий взлет ложных антивирусов пришелся на 2009 год. Именно на протяжении минувшего года окончательно сформировалось разделение лжеантивирусов на две группы – действующие в режиме онлайн, и «классические» (инсталлируемые на ПК пользователя). Впрочем, к сегодняшнему дню угроза со стороны ложных антивирусов меньшей не стала. Скорее, наоборот.
Сложились даже своего рода «традиции». Например, на территории России и стран СНГ, а также в Европе киберзлоумышленники более активно используют схемы вымогательства, использующие вредоносные сайты, на страницах которых содержатся так называемые онлайновые лжеантивирусы. Ссылки на такого рода сайты распространяются в основном через электронную почту, взломанные аккаунты систем мгновенного обмена сообщениями (ICQ, AIM, QIP), а также через контекстную рекламу популярных поисковых систем и социальные сети.
В Северной Америке и Юго-Восточной Азии более распространено использование вредоносного ПО класса Trojan.Fakealert. В этом случае создатели якобы антивирусного сайта методами социальной инженерии убеждают пользователя в необходимости загрузить и установить ложную антивирусную программу. Далее эта программа имитирует антивирусное сканирование ПК, «обнаруживает» разного рода вирусы и троянцы, после чего предлагает пользователю отправить платное SMS-сообщение (реже) или провести в онлайне платеж со своей кредитной карты (чаще). В ответ якобы должен придти код активации функций лечения. Более того, нередко некая последовательность цифр действительно приходит, и пользователь вводит ее в окно активации. После этого лжеантивирус имитирует лечение «зараженного» ПК. Пользователь остается доволен и даже не подозревает, что его обманули. Понятное дело, что вся эта процедура не имеет совершенно ничего общего с лечением от зловредов.
Хотя зафиксированы атаки Trojan.Fakealert в том числе и на русскоязычных пользователей, больше всего пострадавших от данного типа угроз приходится на англоязычные страны. Там представители семейства Trojan.Fakealert обычно предлагают жертве замаскированной атаки оплатить «антивирус» банковской карточкой. Сумма перевода в этом случае составляет $50 и выше. Предложение об оплате «полнофункциональной версии антивируса» может выводиться как в интернет-браузере, так и непосредственно в интерфейсе лжеантивируса.
Если проанализировать статистику распространения Trojan.Fakealert начиная с осени прошлого года, становится очевидным, что с октября 2009 года данный тип вредоносных программ является одним из наиболее популярных у злоумышленников, действующих в Сети. Если посмотреть на двадцатку вредоносных программ в почтовом трафике, самых распространенных в феврале нынешнего года, то в ней можно увидеть сразу восемь модификаций Trojan.Fakealert.
Антивирусная компания «Доктор Веб» уже обнародовала ряд советов, которые помогут пользователям не стать жертвами мошенников, применяющих лжеантивирусы для получения нелегальных доходов. Напомню, что в России и странах СНГ наибольшее распространение получили мошеннические сайты, которые графически имитируют процесс сканирования антивируса, не заражая пользователя никакой вредоносной программой. Что касается способов оплаты, посредством которых злоумышленники получают доходы от распространения лжеантивирусов, то в России и СНГ это платные SMS-сообщения (стоимостью в среднем от 150 до 300 российских рублей).
Однако в конце февраля появился первый сайт на русском языке, который не только имитирует процедуру антивирусного сканирования, но и предлагает пользователю скачать некий дистрибутив, за которым скрывается один из представителей семейства Trojan.Fakealert.
Для справки: первые лжеантивирусы появились в Сети еще в 2005 году и тогда же были выделены в семейство вредоносных программ Trojan.Fakealert. Однако тогда подобные зловреды широкого распространения не получили. Массовое распространение троянцев – фальшивых антивирусов началось в середине 2009 года.
Согласно недавнему отчету Центра по предотвращению преступлений в Интернете (Internet Crime Complaint Center) ФБР США, интернет-мошенники, распространяющие в Сети поддельное антивирусное ПО, уже заработали на обманутых ими пользователях порядка $500 млн. Авторы отчета также предупреждают, что злоумышленники все активнее распространяют поддельные антивирусы, размещая всплывающую рекламу на популярных сайтах, в том числе и абсолютно легальных.
По данным ФБР, в конце минувшего года основная доля лжеантивирусов распространялась в виде файла с названием install.exe, упакованного в ZIP- архив. Данный архив предлагался в качестве обновления используемой почтовой системы (при этом сообщение было написано от имени администратора почтового сервера, который используется) или же обновления конкретно почтового клиента Microsoft Outlook.
Также файлы этого типа распространялись в письмах, в которых говорилось о том, что пользователь нарушает авторские права, загружая из Интернета объекты авторского права, и в приложенном архиве находится распечатка подозрительной активности пользователя за последние шесть месяцев. Кроме того, файл install.zip, содержащий очередную модификацию Trojan.Fakealert, выдавался киберпреступниками за утилиту для лечения локальной сети от сетевого червя Conficker (Win32.HLLW.Shadow.based по классификации Dr.Web).
Впрочем, все чаще дело не ограничивается простым выманиванием денег у обманутых пользователей. Новые подделки хакеров выглядят точно как настоящее ПО для борьбы с червями и троянами (причем в большинстве случаев бесплатное), но при этом программы на самом деле воруют пользовательские данные, а также дают злоумышленникам контроль над зараженной машиной. Всего за последнее время эксперты компании Symantec выявили порядка 250 разновидностей опасных программ с характерными названиями вроде Antivirus 2010 или SpywareGuard 2008. В совокупности они были загружены около 43 млн раз на протяжении 2009 года.
Вице-президент Symantec Винсент Уифер поясняет: «Они получают все – данные о ваших кредитных картах, ваши персональные данные и даже доступ к вашему ПК. Более того, ваш компьютер может стать одной из зомби-машин какого-нибудь ботнета».
Специалисты другой антивирусной компании, Panda Security, также бьют тревогу: они обнаружили еще одну разновидность мошеннического ПО. Программа под названием TotalSecurity2009 полностью блокирует работу всех приложений на компьютере до тех пор, пока пользователь не заплатит $49,95 за двухлетнюю лицензию или $79,95 за пожизненную лицензию на поддельный антивирус.
Как отмечают специалисты Panda Security, хакеры подошли к делу весьма основательно: фальшивый защитный комплекс имеет весьма убедительный интерфейс с множеством настроек и возможностью использования на нескольких языках. Чтобы пользователи могли хотя бы частично обезвредить вредоносное ПО, экспертам из Panda Security пришлось заняться своеобразным пиратством, выложив на своем сайте серийные номера от фальшивого антивируса.
Также все чаще встречается ситуация, когда администраторы вполне легальных сайтов оказываются в сговоре с распространителями ложного антивируса. При переходе пользователя на такой сайт на экране возникает сообщение о том, что на его компьютере якобы обнаружен один или сразу несколько вирусов. И тут же предлагается скачать бесплатную программу для удаления этих вирусов.
Скачанная, инсталлированная и запущенная программа, обосновавшись на ПК, продолжает сообщать о нахождении вирусов и указывает на необходимость купить платную версию, которая якобы лучше и способна с этими вирусами справиться. В случае своего согласия, пользователь платит за программное обеспечение, которое фактически ничего не делает. Иногда программа предлагается на платной основе с самого начала.
Администраторы, которые позволяют размещать подобные загрузки на своих сайтах, получают с каждого клика от 1 до 55 центов, утверждают в Symantec. Таким образом, доход посредников между разработчиками rogueware и пользователями, загружающими программы этого класса, за 2009 год составил в одних только США от $430 тыс. до $23,7 млн. Дать сколько-нибудь более точную оценку пока не представляется возможным.
Специалисты Panda Security говорят: «Злоумышленникам больше не нужно воровать персональную информацию пользователей для того, чтобы завладеть их счетами. При помощи ложных антивирусов они заставляют пользователя отдавать им деньги и все личные данные добровольно». По информации Panda Security, ежемесячно ложным антивирусным ПО инфицируется около 35 млн персональных компьютеров в мире.
А по данным антивирусной компании Sophos, партнерские сети, через которые распространяются ложные антивирусы, существуют уже давно и многие их них вполне законны. При этом значительная часть самых крупных и сомнительных партнерских программ расположены в России. Теперь эксперты советуют пользователям Рунета не доверять предложениям на сомнительных сайтах. А также напоминают, что настоящие производители антивирусного ПО вроде «Лаборатории Касперского», Eset или тех же Symantec и Panda Security никогда не станут проверять компьютер пользователя без его спроса и ведома. На сайтах производителей действительно существует возможность проверить компьютер онлайн или скачать пробный дистрибутив, но воспользоваться этим предложением можно только самостоятельно.
Однако пока разработчики лжеантивирусов успешно пользуются низкой квалификацией и наивностью большинства интернет-пользователей, а также всеобщим страхом перед вирусами и прочим вредоносным ПО.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 15 за 2010 год в рубрике безопасность