ГлавнаяНовостиСтатьиВендорыКаталог  +7 (495) 231-0169 © 

[ Список статей ] ...


ITSec.ru. Watchguard: во втором квартале 2020 года число атак уменьшилось, но вредоносное ПО стало агрессивнее

CISO CLUB. Ультимативный гайд по электронным подписям от УЦ ITCOM

WhatsBetter.ru. Лучшие антивирусы 2020

WhatsBetter.ru. Лучшие браузеры 2020

WhatsBetter.ru. Какая операционная система лучше?

WhatsBetter.ru. Что лучше: Windows 10, 8, 7, Vista или XP?

WatchGuard Technoligies. Новые возможности сервисов Network Discovery и Mobile Security позволили WatchGuard значительно увеличить "Прозрачность" cети

Илья Шабанов. Названы самые комфортные в работе антивирусы

Мария «Mifrill» Нефедова. Облава: о том, как спецслужбы ловят дропов, и не только

Алексей Кадиев. Ботнет Bredolab. Конец истории?

Юрий Ильин. «Добровольные» DDoS-атаки: комментарии экспертов

Берд Киви. За кулисами кибервойны

Берд Киви. Шифровальщик устал...

Chad Perrin. Эффективное уничтожение данных на жестких дисках и других накопителях

Н.Н. Федотов. Риски системного администратора: семь и еще один способ подвести сисадмина под монастырь

Берд Киви. Ближе к железу

Microsoft TechNet. Десять непреложных законов безопасности

Анатолий Темкин. Как карта ляжет

Андрей Сидельников. Правообладатели не придумали, как делить болваночный сбор

Антон Носик. Лохотрон в зоне .рф

Максим Букин. Лжевирусы атакуют

habr.ru. Взгляд на современные системы защиты от спама веб-форм

Cio.com (перевод — Елена Фирсова). Самые опасные работы в области технологий

 Максим Букин 

  

Лжевирусы атакуют


  Производители фальшивых антивирусов, несмотря на понесенный урон от активных действий ФБР США в начале этого года, вновь «поднимают голову» — мировой рынок объемом в сотни миллионов долларов слишком хорош, чтобы от него отказываться. Ведь каждый день к Сети с помощью мобильных и стационарных ПК подключаются сотни тысяч новичков. И достаточно раскрутить красивый сайт с якобы панацеей от всех вирусов, как доверчивые пользователи и представители СМБ обязательно попробуют установить себе на компьютер это «средство от всех болезней». Особенно если сочетать такую «вакцину» с «бесплатной проверкой на вирусы» — уж после нее-то у пользователя на компьютере будет найден полный букет уязвимостей и зловредов, даже если это локальная рабочая станция, которая защищена не хуже чем Форт Нокс.

Проникновение

  По различным экспертным оценкам, каждый год в мировой сети загружается около 150 млн. копий ложных антивирусов — их распространение с целью наживы действительно носит массовый характер. Если в первой половине 2008 г. специалисты “Лаборатории Касперского” обнаружили более трех тысяч фальшивых антивирусов, то за аналогичный период 2009 г. — более 20 тыс. экземпляров. В 2010 г. число таких “зловредов” увеличилось как минимум вдвое. Это обусловлено, в первую очередь, простотой их разработки, отлаженной системой эффективного распространения и высокими прибылями, которые мошенники получают за короткий промежуток времени.

  Для того, чтобы понять угрозу, которая исходит от фальшивых антивирусов, достаточно посмотреть статистику крупных интернет-компаний. Во втором квартале 2010 г. Google выпустила специальное исследование, в котором назвала распространение злоумышленниками фальшивых антивирусов растущей угрозой безопасности для частных пользователей. Особенно для тех, кто в ИТ не разбирается совсем — то есть для подавляющего большинства пользователей Сети. Судите сами — по данным специалистов поисковика, в течение 13 месяцев начиная с мая 2010 г. активность мошеннических программ, маскирующихся под настоящее защитное ПО и вынуждающих пользователей заплатить за лже-антивирус, выросла в пять раз и в настоящий момент доля подобных опасных программ составляет 15% от общего объема вредоносного ПО, обнаруженного в интернете (вывод после анализа содержимого 240 млн. интернет-страниц).

  Нельзя сказать, что правоохранительные органы ничего не предпринимают — к примеру, в мае этого года трем кибермошенникам — двум гражданам США и гражданину Швеции — при помощи доказательной базы, которую собрали в ФБР, предъявлены официальные обвинения в мошенничестве, связанном с распространением фальшивых антивирусов. Компания с незатейливым названием Innovative Marketing размещала в Сети не соответствовавшую действительности рекламу, сообщавшую пользователям, что их компьютеры заражены вирусами, и предлагала установить свое “антивирусное” ПО. Преступники не только продавали лжеантивирусы, но и сумели заработать на этом более 100 млн. долл., сумев обмануть больше миллиона человек из 60 стран. Причем компания, с виду, была одним из столпов рынка безопасности — у них был даже call-центр Byte Hosting Internet Services, который обеспечивал телефонную “поддержку пользователей” ложных антивирусных программ. Но об окончательной победе говорить пока преждевременно.

  Фальшивые антивирусы отличаются громкими названием и... отсутствием какой-либо реальной защиты от вредоносного ПО. То есть установив такое ПО, кроме денег, заплаченных впустую, пользователи совершенно не защищают свой компьютер от угроз киберпространства. Названия у них бывают самые разнообразные. “Свежие” и более-менее популярные — это Antivirus7, Smart Security, Cleanup Antivirus, Dr. Guard, TrustDoctor, My Security Engine, Virus Protector, Antimalware Doctor и т. д. Их основная задача — мимикрировать под известные антивирусные продукты на том или ином рынке ПО, за счет чего можно обмануть не сведущего в этих вопросах пользователя.

Заходя на некоторые сайты лжеантивирусов с настоящим включенным антивирусным пакетом, можно заметить “зловредов”, которые притаились в html-коде

  “Обычно в основе интерфейса лжеантивируса лежит внешний вид одного из популярных антивирусов. Или же злоумышленники создают гибрид из интерфейсов нескольких популярных программ, — говорит аналитик компании “Доктор Веб” Валерий Ледовский, — При этом названия выбираются в виде комбинаций названий антивирусных продуктов, которые на слуху, — Microsoft Internet Security, AntiVirus XP, PC Defender и пр. Кода, который действительно вредит системе, лжеантивирусы в себе обычно не содержат. Но при этом часто в таких троянцах содержится функционал, существенно усложняющий удаление лжеантивируса из системы, а также механизм, не позволяющий запускать специализированные утилиты, способные помочь в исследовании зараженного компьютера”.

Фальшивые антивирусы мимикрируют под продукцию известных производителей. Вот пример с “Лабораторией Касперского”


А вот мимикрия под продукцию Symantec

  Правда, чаще всего создатели лжеантивирусов используют свои “торговые марки”, не пытаясь мимикрировать под продукцию Symantec, Avast, Kaspersky Lab или Dr. Web и т. д. — это может вызвать для них серьезные юридические последствия вплоть до официального расследования их деятельности. “Поэтому распространение собственного, пусть даже и фальшивого, но антивируса — куда как безопаснее”, — констатирует Вячеслав Закоржевский, вирусный аналитик “Лаборатории Касперского”.

  “Несмотря на то, что большинство фальшивых антивирусов устроены достаточно примитивно, они все-таки вводят в заблуждение не только неопытных пользователей, — говорит Александр Матросов, руководитель Центра вирусных исследований и аналитики компании Eset, — Кроме частных пользователей, очень вероятна возможность заражения компаний СМБ, так как крупные компании тратят большие деньги на защиту своей корпоративной сети”. А в небольших организациях может даже не быть администратора для работы с парком компьютеров и проблемы вскрывается при очередном профилактическом осмотре компьютерной техники.

Механизм нападения

  В основном, конечно, сами пользователи дают “добро” на установку фальшивого антивируса на свой компьютер. Чаще всего это происходит после того, как они сталкиваются с тем или иным веб-сайтом из серии “проверь свой компьютер” — как только клиент осуществляет процесс сканирования, ему выдается куча якобы окопавшихся в его компьютере вирусов. Некоторые веб-сайты искусно замаскированы под “Проводник” или другие окна Windows — сначала пользователю показываются ложные сообщения о заражении компьютера, а затем появляется баннер, предлагающий скачать спасительную программу. “Зачастую фальшивые антивирусы применяются в качестве механизма доставки другого злонамеренного ПО, например, для кражи персональных данных”, — отмечает Александр Матросов.

Часто пользователя пугают хорошо сделанным флеш-роликом, который якобы демонстрирует процесс сканирования его компьютера и детектирования множества вирусов

  Кстати, именно так действовали программы-"антивирусы”, на которые перенаправлялись пользователи со взломанного американского сайта “Лаборатории Касперского” в третьей декаде октября 2010 г. Веб-сайт, на которые перенаправлялись пользователи, имитировал окно проводника Windows XP, а также отображал всплывающее окно, в котором показывался ложный процесс сканирования компьютера, по окончанию которого пользователю предлагалось скачать “защитное” ПО. Отметим, что вообще подобное действо на официальном сайте разработчика антивирусного ПО должно насторожить — такой сценарий для них крайне не характерен.

  “В некоторых случаях фальшивые антивирусы даже в состоянии определить версию операционной системы пользователя, чтобы подсунуть ему соответствующий интерфейс, — рассказывают специалисты Google. — После установки подобное вредоносное ПО уже так просто не удалить, так как зараженный компьютер блокирует систему обновления Windows и установочные файлы настоящих антивирусов”.

“Подцепить” лжеантивирус можно на сайтах с сомнительным контентом

  Фальшивые антивирусы присутствуют в основном на сайтах с пиратским контентом. Для того, чтобы компенсировать свои затраты, хозяева таких ресурсов прибегают к подобным нелегальным способам монетизации. За каждую загрузку лжеантивируса владельцы сайтов получают от 1 до 55 центов. “В частности, наткнуться на лжеантивирус можно на порно-ресурсах, а также порталах, которые позволяют смотреть сериалы и различные фильмы в онлайн режиме, — говорит Александр Матросов. — Сейчас у киберпреступников пользуется популярностью схема мошенничества с применением функционала JavaScript, который блокирует браузери переводит активность на появляющиеся окно. Таким образом, пока это окно не будет закрыто, пользователь не сможет совершать какие-либо действия, а активность браузера будет парализована. Использование такой жесткой схемы мотивации пользователя уже не раз встречалось и при навязывании лжеантивирусов”.

Оплатить лжеантивирус предлагается по пластиковой карте через вполне легальный шлюз или сделать это с помощью SMS

  Кроме того, для распространения лжеантивирусов используются те же способы, что и для распространения большинства вредоносных программ: например, скрытая загрузка при помощи Trojan-Downloader, эксплуатация уязвимостей взломанных/зараженных сайтов. “А для того, чтобы сделать загрузку лжеантвирусов легитимной со стороны пользователя, злоумышленники используют спам в социальных сетях и интернет-пейджерах, почтовый спам (его эффективность ниже), рекламу в интернете, — говорит Вячеслав Закоржевский. — Так, в настоящее время множество сайтов размещают баннеры с информацией о новом “волшебном” продукте, который избавляет от всех проблем. Даже на каком-либо легальном ресурсе с большой долей вероятности можно увидеть мигающий баннер или навязчивую флеш-рекламу “нового антивируса”. Кроме того, при веб-серфинге в окне браузера пользователя могут появляться всплывающие окна с предложением бесплатно загрузить антивирус. Как правило, такие окна не оставляют пользователю выбора: в них присутствует только кнопка “OK” или “YES”. Даже в тех случаях, когда якобы можно отказаться от предложения, фальшивый антивирус загружается независимо от того, какую опцию выбрал пользователь — “YES” или “NO”. Вдобавок, “злоумышленники не стесняются использовать все возможные средства для привлечения внимания пользователей — и “черное” продвижение в популярных поисковых системах, и использование контекстной рекламы”, — уточняет Александр Матросов.

  Бывают совершенно нетипичные примеры — есть и поддельное ПО другого рода. “Например, мы сталкивались с тем, что некоторые сайты предлагают скачать у них бесплатный антивирус Microsoft MSE (Microsoft Security Essentials), за который они требуют денег. Кроме того, часто файл с MSE изменен, что говорит о добавлении в него несанкционированных разработчиком изменений — как правило это те же вирусы, внедренные в антивирус”, — отмечает Владимир Мамыкин, директор по информационной безопасности Microsoft в России.

  При этом использование готовых наработок позволяет киберпреступникам создавать множество однотипных программ без значительных временных затрат, а также обходить классические сигнатуры антивируса. “Производство псевдоантивирусов в настоящее время поставлено на поток, а эволюция FraudTool направлена на усложнение тела программы, чтобы сбивать сигнатурное детектирование антивирусов. — говорит Вячеслав Закоржевский, — При этом псевдоантивирусы практически невозможно детектировать с помощью эвристических сигнатур, которые основаны на поведенческом анализе. Это в первую очередь связано с тем, что очень сложно технически отличить обычную программу-фальшивку, открывающуюся в отдельном окне, от легальной пользовательской программы. Следовательно, если исполняемый файл ложного антивируса не упакован нелегальным упаковщиком, то определить его можно только с помощью ручного анализа. Это значительно затрудняет автоматическое детектирование новых версий ложных антивирусов”.

Схема работы

  Фальшивые антивирусы — практически совершенное средство для киберперступников. Судите сами — пользователя надо только убедить с помощью красивых картинок в том, что его компьютер на последнем издыхании от злобных вирусов, которые там окопались, и предложить недорогую, как минимум в два раза дешевле чем у крупных вендоров, вакцину. При должном уровне визуализации рука сама тянется за кредитной карточкой и мышка нажимает на download. Таким образом, преступники с помощью транзакций по пластиковой карте (чаще всего используется с англоязычными пользователями) или SMS (российский вариант) получают реальную монетизацию своих усилий. Среди первых систем “засветилась” иностранная 2checkout, среди вторых — короткие номера компании “А1: Первый альтернативный контент-провайдер”.

  Большинство лжеантивирусов внешне отличаются только интерфейсом. Обычно лжеантивирус после установки в систему имитирует ее сканирование и “обнаруживает вирусы”. “После этого появляется сообщение с требованием денег за “полную версию” антивируса, так как якобы бесплатная (уже установленная у пользователя) версия позволяет только определить наличие заражения, а вылечить систему не может”, — говорит Валерий Ледовский. Такой вид программ, согласно классификации “Лаборатории Касперского”, называется FraudTool и относится к классу RiskWare. Список десяти самых популярных семейств лжеантивирусов за 2010 г., согласно статистике Kaspersky Security Network (KSN), выглядит так: Agent, BachKhoa, AdwareRemover, BestSeller, RegTool, WinAntiVirus, AntiVirusPro, GreenAV, MultiVirusCleaner, AntiSpywareShield.

  С установкой на компьютер лжеантивируса дело не заканчивается — пользователь получает себе на машину, подключенную к сети, программу, с помощью которой можно воровать его персональные данные, кроме того его техника превращается в “зомби” и участвует в DDoS-атаках. Причем, никакой антивирус снести это ПО не может — ведь зловредное ПО и есть… тот самый “антивирус”. Попутно компьютер участвует в рассылке спама, может использоваться как один из множества небольших узлов в пиратских торрент-сетях и т. д. Естественно, все без ведома владельца — так хакеры зарабатывают на невнимательности и доверчивости владельца компьютера практически постоянно.

  Распространение ложных антивирусов осуществляется преступными группировками, в которых роли четко определены. Часть “сотрудников” создает и обслуживает системы анонимной регистрации доменов, оплаты хостинга и загрузки туда типового содержимого сайтов с вредоносным ПО. Причем, менять домены приходится часто — в основном, из-за технологии Safe Browsing, используемой в популярных браузерах Mozilla Firefox и Google Chrome для обнаружения и блокирования потенциально опасных веб-сайтов. Дизайн сайтов, конечно, меняется, как и “торговые марки” якобы антивирусов — все это происходит с помощью специально созданных конструкторов. Вторая часть “сотрудников” преступной фирмы занимается выпуском фальшивых антивирусов и сопутствующего ПО — сканеров системного трея, программ для удаления файлов и программ, чистки реестра и т. д. То есть всех тех популярных миниатюрных программ, которые пользователь может себе поставить. Естественно, ставят они к себе в систему вирусы.

  И, наконец, третья группа организует подставные фирмы для того, чтобы пройти финансовый аудит у банков и процессингов, занимается созданием “черных” схем увода денег после их поступления на счета, а также принимает заказы от сторонних группировок и частных лиц на атаки, которые можно организовать с помощью созданных ботнетов (их продажа осуществляется редко).

  Есть и специфические сервисы — к примеру... call-центр для “поддержки пользователей”. Схема работы таких служб достаточно проста — дело в том, что после того как пользователь с помощью бесплатной пробной версии якобы мощного антивируса загрузит, установит и проведет сканирование системы, он обязательно получает целый список обнаруженных вредоносных программ — вирусов, троянов, спам-ботов… Для излечения зараженного опаснейшими вредоносами компьютера предлагается приобрести полнофункциональную версию “антивируса”. Так вот саппорт, где отвечает человек, а не робот, создан для убеждения сомневающихся — в задачу таких “специалистов” входят нагнетание страха, чтобы у пользователя оперативно возникло желание незамедлительно приобрести “полноценную версию антивируса” за несколько десятков долларов.


Источник: PC Week  

Рейтинг @Mail.ru
Rambler''s Top100