-
Фальшивые антивирусы, которые приводят к реальным проблемам
Инструкция по распознаванию вирусной угрозыВчера мне позвонили и сообщили, что один из компьютеров в ЦБС заражен огромным количеством вирусов и его необходимо срочно "лечить". Долго я вникал в детали и описания процесса идентификации такой "угрозы" и вскоре понял, что работник библиотеки был обманут фальшивым антивирусом.
Довольно реалистичная картинка на первый взгляд:
Если вы нажмете на эту картинку (откроется в новом окне), то увидите как похож обманщик на ваш проводник компьютера. Я подобрал для вас несколько статей по этой актуальной теме.
Фальшивые антивирусы или пугающая всех картинка - "Ваш компьютер заражен”
Приветствую, друзья! Как вы уже поняли из названия, речь в данной статье пойдет о фальшивых антивирусах. Правда не о тех фальшивках, которые пользователь сам скачивает и устанавливает под видом легитимного программного обеспечения или супер-антивируса, разработчики которого обещают 100% детект. Нет, речь пойдет о тех псевдо-антивирусах, которые пугают робкого и всего боящегося пользователя в браузере. Как многие уже могли догаться - и тут не обошлось без мозгового штурма профессиональных психологов, которые не перестают придумывать все новые и новые схемы мошенничества, в желании запугать жертву, заставивив ее тем самым платить. И то, что является чистой воды вымогательством, на деле выглядит очень красиво и убедительно (для простого пользователя).
Давайте теперь разберемся, что же это такое, и главное - как зарабатывают жулики. Сразу скажу, что никакие вредоносные программы при этом не задействуются, заражений не происходит. Обычное мошенничество, основанное на испуге и доверчивости жертвы.
Допустим, пользователь ищет какую-либо информацию в сети (доклад, песню, фильм, и т.п.). Вводит в поисковик запрос - и перед ним открывается огромный выбор ресурсов, где он может скачать искомый материал. Он переходит по одной из ссылок, выданных ему поисковиком - и тут-то на весь экран появляется нечто, напоминающее проводник Windows, и сообщение: "Внимание! На вашем компьютере обнаружены подозрительные файлы. Необходимо срочно проверить компьютер на наличие вредоносных программ".
После нажатия кнопки "ОК", начинается псевдо-проверка компьютера. Все это сопровождается красочным и разноцветным миганием, а также цифрами найденных угроз, количество которых - нереально высокое (несколько десятков или даже сотен). Сама проверка проходит за 10-15 секунд, но и их достаточно, чтобы напугать жертву, которая даже и не заметила, что это на самом деле не проводник Windows, а новая вкладка в браузере, которая открылась вместе с тем сайтом, на который изначально нужно было попасть.
Почему же так происходит? Да все просто. Недобросвестные веб-мастера, не заботящиеся о своих пользователях, преследуют только цель обогащения, имея партнерку со злоумышленниками. Веб-мастер размещает на своем ресурсе код, который открывает дополнительную вкладку в браузере каждого пользователя, приходящего на его ресурс из поисковика (может и по прямой ссылке на сайт), получая по партнерке неплохую денежную сумму (ежемесячно). Бывает и так, что ресурсы создаются специально для заработка. Сайту различными способами накручивается "пузомерка", он наполняется актуальным контентом.... Ну а дальше - по уже описанной выше схеме. К сожалению, таких ресурсов сейчас становится все больше и больше.
Так вот, возвращаюсь к нашей теме. После того, как прошла "яркая и красочная" проверка, жертве, разумеется, предлагается удалить все найденные якобы угрозы. Вот только для удаления "всей этой гадости", которой на самом деле в системе и нет, требуется активировать защиту. Требуется указать номер своего мобильного, на который придет sms с кодом подтверждения.
После того, как жертва введет номер своего мобильного, на этот номер сразу же приходит sms-сообщение, содержащее в себе дальнейшие инструкции.
Ну и как только жертва подтвердит "активацию" - счет мобильного сразу же пустеет на некоторую сумму (от 100 до 150 рублей, в зависимости от оператора).
Но самое обидное, как я уже сказал выше - никаких угроз и не было. Это обычное мошенничество. Судя по тому, что данная схема еще актуальна, можно сделать вывод - она приносит прибыль. Ведь если бы она перестала приносить злоумышленникам доход - от нее давно бы отказались. Но ведь нет. Значит есть жертвы. И это печально.
В данной статье я старался как можно подробней описать данный вид мошенничества, поскольку не встречал в сети ни одного более-менее детального описания всех нюансов. Друзья, не идите на поводу у злоумышленников, обогащая их тем самым. Старайтесь всегда трезво оценивать ситуацию и не принимайте быстрых, необдуманных решений. Будьте грамотными!
Источник: http://infsecvir.ru/vash-kompyuter-zarazhen-falshivyj-antivirusКак поймать вирус - пособие для "начинающих"
Такие вещи, как баннер на рабочем столе, сообщающий о том, что компьютер заблокирован, знакомы, пожалуй, уже всем. В большинстве случаев, когда пользователю нужна компьютерная помощь по аналогичному поводу, приехав к нему, слышишь вопрос: «откуда он у меня взялся, я же ничего не качал». Наиболее частый способ распространения такого вредоносного программного обеспечения — Ваш обычный браузер. В этой статье будет сделана попытка рассмотреть наиболее частые способы получения вирусов на компьютер через браузер.
Ложные ссылки для загрузки
Я не раз писал о том, что «скачать бесплатно без смс и регистрации» — поисковый запрос, наиболее часто ведущий к заражению вирусами. На подавляющем большинстве неофициальных сайтов для загрузки программ, предлагающих скачать драйвера для всего, что угодно, Вы увидите множество ссылок «Скачать» не приводящих к загрузке нужного файла. При этом, разобраться, какая кнопка «Скачать» позволит загрузить нужный файл неспециалисту непросто. Пример — на картинке.
Результаты, в зависимости от того, на каком сайте это происходит, могут быть совершенно разные — начиная от множества установленных на компьютере и находящихся в автозагрузке программ, поведение которых не слишком добросовестное и ведет к заметному замедлению работы компьютера вообще и доступа в интернет в частности: MediaGet, Guard.Mail.ru, многочисленные бары (панели) для браузеров. До получения вирусов, баннеров-блокираторов и других малоприятных событий.
Ваш компьютер заражен
Еще один распространенный способ получить вирус в Интернете — на каком-либо сайте Вы видите всплывающее окошко или даже окно, похожее на Ваш «Проводник», в котором сообщается о том, что на компьютере обнаружены вирусы, трояны и прочая нечисть. Естественно, предлагается легко исправить проблему, для чего нужно нажать соответствующую кнопку и скачать файл, либо даже не скачивать, а просто при запросе системы разрешить выполнить то или иное действие с ней. Учитывая то, что обычный пользователь не всегда обратит внимание на то, что о проблемах сообщает совсем не его антивирус, а сообщения контроля учетных записей Windows обычно пропускаются нажатием «Да», таким способом очень легко поймать вирус.
Ваш браузер устарел
Аналогично предыдущему случаю, только здесь Вы увидите всплывающее окно, сообщающее о том, что Ваш браузер устарел и его необходимо обновить, для чего будет дана соответствующая ссылка. Последствия такого обновления браузера часто печальны.
Нужно установить кодек для просмотра видео
Ищите «смотреть кино онлайн» или «интерны 256 серия онлайн»? Будьте готовы к тому, что Вам будет предложено скачать какой-либо кодек для проигрывания этого видео, Вы скачаете, и, в итоге, это окажется совсем не кодек. К сожалению, я даже не знаю, как грамотно объяснить способы отличить нормальный установщик Silverlight или Flash от вредоносных программ, хотя это достаточно просто для опытного пользователя.
Автоматически загружаемые файлы и файлы которые "не открываются"
На некоторых сайтах Вы также можете столкнуться с тем, что страница попробует автоматически загрузить какой-либо файл, причем Вы, скорее всего никуда не нажимали для его загрузки. В этом случае рекомендуется отменить загрузку. Важный момент: не только EXE файлы опасны для запуска, таких типов файлов значительно больше.
Незащищенные плагины браузеров
Еще один распространенный способ получения вредоносного кода через браузер — различные дыры безопасности в плагинах. Самый известный из таких плагинов — Java. Вообще, если у Вас нет прямой необходимости, лучше полностью удалить Java с компьютера. Если Вы этого сделать не можете, например, потому что Вам нужно играть в Minecraft — то удалите только плагин Java из браузера. Если Вам необходима Java и в браузере, например, вы используете какое-либо приложение на сайте управления финансами, то по крайней мере всегда реагируйте на уведомления об обновлении Java и устанавливайте последнюю версию плагина.
Такие браузерные плагины, как Adobe Flash или PDF Reader также нередко имеют проблемы с безопасностью, однако следует заметить, что компания Adobe куда быстрее реагирует на выявленные ошибки и обновления поставляются с завидной регулярностью — просто не откладывайте их установку.
Ну а главное, в том, что касается плагинов — удалите из браузера все плагины, которые Вы не используете, а используемые держите обновленными.
Другие лже-антивирусы
Ярким примером лже-антивируса служит программа Security Essentials 2010-13, которая выдает себя за Microsoft Security Essentials:Эта программа вместо обещанного поиска и устранения вирусов контролирует запущенные процессы и пытается завершить те, которые считает ненужными. Кроме того она может изменять реестр, контролирует интернет-трафик, а также совершает массу других действий мешающих нормальной работе.
Точно известны и многие другие названия таких программ. Это Virus Protector, Online Antivirus XP-Vista 2009, BugsRadar, XP Antivirus 2009, Vista Antivirus 2008, Live PC Care, Doctor Antivirus, Virus Remover 2009, Personal Antivirus, Malware Doctor, Digital Protection, Your Protection, Antivirus Suite, AntiVirus, User Protection, Security Guard, Antivirus7, Smart Security, Cleanup Antivirus, Dr. Guard, Antimalware Doctor.
Список можно продолжать (по некоторым данным он уже доходит до 300 названий).
Ложные антивирусы или как их еще называют - лже-антивирусы, сегодня являются одним из активно набирающих популярность способов Интернет-мошенничества. Суть его заключается в том, чтобы заставить пользователя заплатить деньги за программу, которая якобы удалит с компьютера очень опасные вирусы и защитит в дальнейшем ПК пользователя от различных Интернет-угроз. И все бы ничего, если бы программа, которую предлагалось купить не была бы "пустышкой".
Ложный антивирус - это программа, которая маскируется под настоящий антивирус. При этом, заплатив за нее деньги, пользователь в лучшем случае получает абсолютно бесполезную утилиту, в худшем - самый настоящий настоящий вирус или троян, который крадет у него данные кредитных карт и прочую конфиденциальную информацию. Устанавливая лже-антирус на ПК, вы по сути добровольно заражаете свой компьютер.
Типичные представители ложных антивирусов известны под именами: Online Antivirus XP-Vista 2009, XP Antivirus 2009, Vista Antivirus 2008, Doctor Antivirus, Virus Remover 2009, Personal Antivirus, Malware Doctor и другими.
Крупнейшие производители антивирусов (Symantec, Panda, Sophos) бьют тревогу. Жертв ложных антивирусов становится все больше. В 2009 году их число увеличилось в 10 раз. Что же заставляет здравосмыслящих людей скачивать, устанавливать и потом еще и платить деньги за лже-антивирусы?
Ложный антивирус - как происходит заражение?
Чтобы заставить пользователя воспользоваться лже-антивирусом мошенники идут на самые разные хитрости. Начиная от предложения бесплатно проверить компьютер на предмет вредоносных программ и вирусов, до выдачи вот таких предупреждающих сообщений при заходе на некоторые сайты.
В этом сообщении говорится, что на вашем ПК обнаружены трояны и операционная система под угрозой. При этом вам предлагают скачать некое антишпионское ПО - это и есть ложный антивирус. Неприятность заключается в том, что получить такое предупреждающее сообщение можно не только на сайте самих мошенников, но и на огромном числе сайтов, участвующих в распространении ложной программы (это партнеры распространителей ложного ПО). Каждый такой партнер получает потом часть денег, заплаченных пользователей за лже-антивирус. Поэтому и множатся такие сайты как грибы.
Что происходит дальше? Если пользователь соглашается на установку ложного антишпионского ПО или же переходит по ссылке на сайт злоумышленников, то лже-антивирус сразу же включается в работу. Он начинает якобы сканирование жесткого диска компьютера, прерывая этот процесс "истошными воплями" и предупреждениями об очередной найденной "угрозе" (угроза - в кавычках, разумеется).
Установившись и обнаружив на компьютере жертвы якобы вирусы, лже-антивирус начинает крайне навязчиво выдавать разнообразные предложения заплатить за программу. Они могут выдаваться в системном трее, либо в всех браузерах (Internet Explorer, Firefox, Opera).
Фантазия у мошенников работает блестяще. Как вам например такой прием? Представьте, при заходе на стартовую страницу Google вы получаете сообщение, которое способно напугать любого неподготовленного пользователя. Например, Google обнаружил у вас незарегистрированную версию ложного антивируса (в нашем случае "Antivirus 2009") и настоятельно предлагает вам ее активировать, для того чтобы ваш персональный компьютер был защищен незаконных проникновений из Интернет.
Думаю все Интернет-пользователи знают поисковик Google и многие этой компании доверяют и пользуются ее сервисами. Не удивительно, что получив такое предупреждение от известнейшей поисковой системы многие пользователи платят за ложный антивирус. А ведь это только один из многочисленных методов, с помощью которых лже-антивирус пытается выудить у пользователя деньги.
Мошенники убеждать умеют очень хорошо.
Лично мы столкнулись совсем недавно с новым ложным другом пользователей ПК, с так называемым Security Tool, и нам прищлось попотеть, прежде чем удалось его полностью удалить с компьютера клиента. Поэтому мы и решили упоминуть здесь о нём.
Security Tool: пример ложного ПО
Security Tool это поддельная антиспайварная программа из серии подделок основателем которой является System Security. Как и другие программы подобного класса, Security Tool использует разнообразные способы проникновения на компьютер. Среди них основные это трояны и поддельные онлайн антивирусные сканеры.
После того как эта паразитная программы была скачана и запущена, она первым делом создаёт запись с именем состоящем из случайно выбранных цифр в ключе «HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun» реестра Windows, обеспечивая таким образом себе автоматический запуск при каждой загрузке Windows. Затем Security Tool приступает к сканированию компьютера, результатом которого является обнаружение большого количества заражённых файлов.
Вылечить эти файлы или удалить их нельзя, программа будет требовать сначала купить её полную версию. Но делать этого не нужно, так как всё что показывает Security Tool в своём отчёте – это подделка, ничего подобного на компьютере нет.
Для того чтобы создать более полную картину того, что компьютер заражён, Security Tool постоянно показывает различные предупреждения, которые сообщают о том, что компьютер заражён, что часть системных файлов были повреждены неизвестной вредоносной программой и тд. Кроме этого, Security Tool блокирует запуск практически всех программ, включая антивирусы, показывая при этом сообщение что файл был заражён.
Смысл показа всех этих сообщений один, обманом вынудить пользователя купить Security Tool и «вылечить компьютер». Как и результаты сканирования, все эти предупреждения – подделка и их нужно игнорировать.
Если вы не разбираетесь хорошо в компьютерах, то не стоит пытаться самим пытаться избавиться от этой заразы, поскольку она довольно агрессивная и устойчивая к мерам воздействия на неё. Обращайтесь к специалистам, если они действительно хорошие, то обязательно вам помогут!
В продолжении темы:Ложные антивирусы имитируют интерфейсы браузеров Internet Explorer, Firefox, Chrome и Safari
Раньше программное обеспечение ложных антивирусов изображало только предупреждения Internet Explorer и делало вид, что запускает проверку диска в Проводнике Windows. В других браузерах это смотрелось забавно и не имело серьезного эффекта. Осознав свою ошибку, хакеры внесли коррективы. Теперь внешний вид онлайн "антивируса" зависит от того, каким браузером пользуется посетитель вредоносного ресурса. Ложное защитное программное обеспечение различает четыре самых популярных обозревателя: Internet Explorer, Firefox, Chrome и Safari.
Пользователи Microsoft ничего нового не увидят. Им покажут то же "предупреждение" в стиле Windows 7. А вот кто работал с внутренним фильтром Firefox, узнает в изображении обозревателя от Mozilla классические элементы оформления, которые характерны для выдаваемых этим браузером уведомлений об опасности. Так что пользователь, для которого графика важнее текста, поверит в истинность этого "информационного окна".
Если же посетитель работает через Google Chrome, то сначала он увидит небольшое диалоговое окно с текстом "Система безопасности Chrome обнаружила критическую активность процессов в вашей системе и осуществит быстрое сканирование системных файлов". Затем он перейдет на страницу "сканирования".
Что касается Safari, то здесь злоумышленники недоработали: первичное предупреждение имеет логотип обозревателя, но последующее окно ложного антивирусного исследования такое же, как в Internet Explorer.
Со страницы "сканера" загружается файл с именем вида InstallInternetDefender_xxx.exe (xxx - три произвольные цифры). Проверка этого образца настоящими антивирусами не дала заметного результата: было получено лишь несколько эвристических вердиктов от малоизвестных защитных решений.
Делая вывод, нужно отметить, что отказ от Internet Explorer перестает быть основным средством защиты от онлайн угроз. Альтернативные браузеры становятся популярны, а значит, возрастает и интерес к ним со стороны преступников.
Источник: Anti-Malware
Фото с сайта: Zscaler Research blogИ вот ещё список с лже-антивирусами. Может кому и пригодится при выборе защиты.
* Security Tool
* Antivirus 7
* Antivirus GT
* Defense Center
* Protection Center
* Sysinternals Antivirus
* Security Master AV
* CleanUp Antivirus
* Security Toolbar
* Digital Protection
* XP Smart Security 2010
* Antivirus Suite
* Vista Security Tool 2010
* Total XP Security
* Security Central
* Security Antivirus
* Total PC Defender 2010
* Vista Antivirus Pro 2010
* Your PC Protector
* Vista Internet Security 2010
* XP Guardian
* Vista Guardian 2010
* Antivirus Soft
* XP Internet Security 2010
* Antivir 2010
* Live PC Care
* Malware Defense
* Internet Security 2010
* Desktop Defender 2010
* Antivirus Live
* Personal Security
* Cyber Security
* Alpha Antivirus
* Windows Enterprise Suite
* Security Center
* Control Center
* Braviax
* Windows Police Pro
* Antivirus Pro 2010
* PC Antispyware 2010
* FraudTool.MalwareProtector.d
* Winshield2009.com
* Green AV
* Windows Protection Suite
* Total Security 2009
* Windows System Suite
* Antivirus BEST
* System Security
* Personal Antivirus
* System Security 2009
* Malware Doctor
* Antivirus System Pro
* WinPC Defender
* Anti-Virus-1
* System Guard 2008
* System Guard 2009
* Antivirus 2009
* Antivirus 2010
* Antivirus Pro 2009
* Antivirus 360
* MS Antispyware 2009
* IGuardPC or I Guard PC
* Additional GuardИсточник: http://stalker.uz/soft/vnimanie-opasnost-lozhnye-antivirusy-lzhe-antivirusy
Поділись з друзями:
Централізована бібліотечна система Білої Церкви обслуговує 50873 читачів!
Це більш ніж 25% населення всього міста!