Лжевирусы атакуют

Проникновение

  По различным экспертным оценкам, каждый год в мировой сети загружается около 150 млн. копий ложных антивирусов — их распространение с целью наживы действительно носит массовый характер. Если в первой половине 2008 г. специалисты “Лаборатории Касперского” обнаружили более трех тысяч фальшивых антивирусов, то за аналогичный период 2009 г. — более 20 тыс. экземпляров. В 2010 г. число таких “зловредов” увеличилось как минимум вдвое. Это обусловлено, в первую очередь, простотой их разработки, отлаженной системой эффективного распространения и высокими прибылями, которые мошенники получают за короткий промежуток времени.

  Для того, чтобы понять угрозу, которая исходит от фальшивых антивирусов, достаточно посмотреть статистику крупных интернет-компаний. Во втором квартале 2010 г. Google выпустила специальное исследование, в котором назвала распространение злоумышленниками фальшивых антивирусов растущей угрозой безопасности для частных пользователей. Особенно для тех, кто в ИТ не разбирается совсем — то есть для подавляющего большинства пользователей Сети. Судите сами — по данным специалистов поисковика, в течение 13 месяцев начиная с мая 2010 г. активность мошеннических программ, маскирующихся под настоящее защитное ПО и вынуждающих пользователей заплатить за лже-антивирус, выросла в пять раз и в настоящий момент доля подобных опасных программ составляет 15% от общего объема вредоносного ПО, обнаруженного в интернете (вывод после анализа содержимого 240 млн. интернет-страниц).

  Нельзя сказать, что правоохранительные органы ничего не предпринимают — к примеру, в мае этого года трем кибермошенникам — двум гражданам США и гражданину Швеции — при помощи доказательной базы, которую собрали в ФБР, предъявлены официальные обвинения в мошенничестве, связанном с распространением фальшивых антивирусов. Компания с незатейливым названием Innovative Marketing размещала в Сети не соответствовавшую действительности рекламу, сообщавшую пользователям, что их компьютеры заражены вирусами, и предлагала установить свое “антивирусное” ПО. Преступники не только продавали лжеантивирусы, но и сумели заработать на этом более 100 млн. долл., сумев обмануть больше миллиона человек из 60 стран. Причем компания, с виду, была одним из столпов рынка безопасности — у них был даже call-центр Byte Hosting Internet Services, который обеспечивал телефонную “поддержку пользователей” ложных антивирусных программ. Но об окончательной победе говорить пока преждевременно.

  Фальшивые антивирусы отличаются громкими названием и... отсутствием какой-либо реальной защиты от вредоносного ПО. То есть установив такое ПО, кроме денег, заплаченных впустую, пользователи совершенно не защищают свой компьютер от угроз киберпространства. Названия у них бывают самые разнообразные. “Свежие” и более-менее популярные — это Antivirus7, Smart Security, Cleanup Antivirus, Dr. Guard, TrustDoctor, My Security Engine, Virus Protector, Antimalware Doctor и т. д. Их основная задача — мимикрировать под известные антивирусные продукты на том или ином рынке ПО, за счет чего можно обмануть не сведущего в этих вопросах пользователя.

  “Обычно в основе интерфейса лжеантивируса лежит внешний вид одного из популярных антивирусов. Или же злоумышленники создают гибрид из интерфейсов нескольких популярных программ, — говорит аналитик компании “Доктор Веб” Валерий Ледовский, — При этом названия выбираются в виде комбинаций названий антивирусных продуктов, которые на слуху, — Microsoft Internet Security, AntiVirus XP, PC Defender и пр. Кода, который действительно вредит системе, лжеантивирусы в себе обычно не содержат. Но при этом часто в таких троянцах содержится функционал, существенно усложняющий удаление лжеантивируса из системы, а также механизм, не позволяющий запускать специализированные утилиты, способные помочь в исследовании зараженного компьютера”.

  Правда, чаще всего создатели лжеантивирусов используют свои “торговые марки”, не пытаясь мимикрировать под продукцию Symantec, Avast, Kaspersky Lab или Dr. Web и т. д. — это может вызвать для них серьезные юридические последствия вплоть до официального расследования их деятельности. “Поэтому распространение собственного, пусть даже и фальшивого, но антивируса — куда как безопаснее”, — констатирует Вячеслав Закоржевский, вирусный аналитик “Лаборатории Касперского”.

  “Несмотря на то, что большинство фальшивых антивирусов устроены достаточно примитивно, они все-таки вводят в заблуждение не только неопытных пользователей, — говорит Александр Матросов, руководитель Центра вирусных исследований и аналитики компании Eset, — Кроме частных пользователей, очень вероятна возможность заражения компаний СМБ, так как крупные компании тратят большие деньги на защиту своей корпоративной сети”. А в небольших организациях может даже не быть администратора для работы с парком компьютеров и проблемы вскрывается при очередном профилактическом осмотре компьютерной техники.

Механизм нападения

  В основном, конечно, сами пользователи дают “добро” на установку фальшивого антивируса на свой компьютер. Чаще всего это происходит после того, как они сталкиваются с тем или иным веб-сайтом из серии “проверь свой компьютер” — как только клиент осуществляет процесс сканирования, ему выдается куча якобы окопавшихся в его компьютере вирусов. Некоторые веб-сайты искусно замаскированы под “Проводник” или другие окна Windows — сначала пользователю показываются ложные сообщения о заражении компьютера, а затем появляется баннер, предлагающий скачать спасительную программу. “Зачастую фальшивые антивирусы применяются в качестве механизма доставки другого злонамеренного ПО, например, для кражи персональных данных”, — отмечает Александр Матросов.

  Кстати, именно так действовали программы-"антивирусы”, на которые перенаправлялись пользователи со взломанного американского сайта “Лаборатории Касперского” в третьей декаде октября 2010 г. Веб-сайт, на которые перенаправлялись пользователи, имитировал окно проводника Windows XP, а также отображал всплывающее окно, в котором показывался ложный процесс сканирования компьютера, по окончанию которого пользователю предлагалось скачать “защитное” ПО. Отметим, что вообще подобное действо на официальном сайте разработчика антивирусного ПО должно насторожить — такой сценарий для них крайне не характерен.

  “В некоторых случаях фальшивые антивирусы даже в состоянии определить версию операционной системы пользователя, чтобы подсунуть ему соответствующий интерфейс, — рассказывают специалисты Google. — После установки подобное вредоносное ПО уже так просто не удалить, так как зараженный компьютер блокирует систему обновления Windows и установочные файлы настоящих антивирусов”.

  Фальшивые антивирусы присутствуют в основном на сайтах с пиратским контентом. Для того, чтобы компенсировать свои затраты, хозяева таких ресурсов прибегают к подобным нелегальным способам монетизации. За каждую загрузку лжеантивируса владельцы сайтов получают от 1 до 55 центов. “В частности, наткнуться на лжеантивирус можно на порно-ресурсах, а также порталах, которые позволяют смотреть сериалы и различные фильмы в онлайн режиме, — говорит Александр Матросов. — Сейчас у киберпреступников пользуется популярностью схема мошенничества с применением функционала JavaScript, который блокирует браузери переводит активность на появляющиеся окно. Таким образом, пока это окно не будет закрыто, пользователь не сможет совершать какие-либо действия, а активность браузера будет парализована. Использование такой жесткой схемы мотивации пользователя уже не раз встречалось и при навязывании лжеантивирусов”.

  Кроме того, для распространения лжеантивирусов используются те же способы, что и для распространения большинства вредоносных программ: например, скрытая загрузка при помощи Trojan-Downloader, эксплуатация уязвимостей взломанных/зараженных сайтов. “А для того, чтобы сделать загрузку лжеантвирусов легитимной со стороны пользователя, злоумышленники используют спам в социальных сетях и интернет-пейджерах, почтовый спам (его эффективность ниже), рекламу в интернете, — говорит Вячеслав Закоржевский. — Так, в настоящее время множество сайтов размещают баннеры с информацией о новом “волшебном” продукте, который избавляет от всех проблем. Даже на каком-либо легальном ресурсе с большой долей вероятности можно увидеть мигающий баннер или навязчивую флеш-рекламу “нового антивируса”. Кроме того, при веб-серфинге в окне браузера пользователя могут появляться всплывающие окна с предложением бесплатно загрузить антивирус. Как правило, такие окна не оставляют пользователю выбора: в них присутствует только кнопка “OK” или “YES”. Даже в тех случаях, когда якобы можно отказаться от предложения, фальшивый антивирус загружается независимо от того, какую опцию выбрал пользователь — “YES” или “NO”. Вдобавок, “злоумышленники не стесняются использовать все возможные средства для привлечения внимания пользователей — и “черное” продвижение в популярных поисковых системах, и использование контекстной рекламы”, — уточняет Александр Матросов.

  Бывают совершенно нетипичные примеры — есть и поддельное ПО другого рода. “Например, мы сталкивались с тем, что некоторые сайты предлагают скачать у них бесплатный антивирус Microsoft MSE (Microsoft Security Essentials), за который они требуют денег. Кроме того, часто файл с MSE изменен, что говорит о добавлении в него несанкционированных разработчиком изменений — как правило это те же вирусы, внедренные в антивирус”, — отмечает Владимир Мамыкин, директор по информационной безопасности Microsoft в России.

  При этом использование готовых наработок позволяет киберпреступникам создавать множество однотипных программ без значительных временных затрат, а также обходить классические сигнатуры антивируса. “Производство псевдоантивирусов в настоящее время поставлено на поток, а эволюция FraudTool направлена на усложнение тела программы, чтобы сбивать сигнатурное детектирование антивирусов. — говорит Вячеслав Закоржевский, — При этом псевдоантивирусы практически невозможно детектировать с помощью эвристических сигнатур, которые основаны на поведенческом анализе. Это в первую очередь связано с тем, что очень сложно технически отличить обычную программу-фальшивку, открывающуюся в отдельном окне, от легальной пользовательской программы. Следовательно, если исполняемый файл ложного антивируса не упакован нелегальным упаковщиком, то определить его можно только с помощью ручного анализа. Это значительно затрудняет автоматическое детектирование новых версий ложных антивирусов”.

Схема работы

  Фальшивые антивирусы — практически совершенное средство для киберперступников. Судите сами — пользователя надо только убедить с помощью красивых картинок в том, что его компьютер на последнем издыхании от злобных вирусов, которые там окопались, и предложить недорогую, как минимум в два раза дешевле чем у крупных вендоров, вакцину. При должном уровне визуализации рука сама тянется за кредитной карточкой и мышка нажимает на download. Таким образом, преступники с помощью транзакций по пластиковой карте (чаще всего используется с англоязычными пользователями) или SMS (российский вариант) получают реальную монетизацию своих усилий. Среди первых систем “засветилась” иностранная 2checkout, среди вторых — короткие номера компании “А1: Первый альтернативный контент-провайдер”.

  Большинство лжеантивирусов внешне отличаются только интерфейсом. Обычно лжеантивирус после установки в систему имитирует ее сканирование и “обнаруживает вирусы”. “После этого появляется сообщение с требованием денег за “полную версию” антивируса, так как якобы бесплатная (уже установленная у пользователя) версия позволяет только определить наличие заражения, а вылечить систему не может”, — говорит Валерий Ледовский. Такой вид программ, согласно классификации “Лаборатории Касперского”, называется FraudTool и относится к классу RiskWare. Список десяти самых популярных семейств лжеантивирусов за 2010 г., согласно статистике Kaspersky Security Network (KSN), выглядит так: Agent, BachKhoa, AdwareRemover, BestSeller, RegTool, WinAntiVirus, AntiVirusPro, GreenAV, MultiVirusCleaner, AntiSpywareShield.

  С установкой на компьютер лжеантивируса дело не заканчивается — пользователь получает себе на машину, подключенную к сети, программу, с помощью которой можно воровать его персональные данные, кроме того его техника превращается в “зомби” и участвует в DDoS-атаках. Причем, никакой антивирус снести это ПО не может — ведь зловредное ПО и есть… тот самый “антивирус”. Попутно компьютер участвует в рассылке спама, может использоваться как один из множества небольших узлов в пиратских торрент-сетях и т. д. Естественно, все без ведома владельца — так хакеры зарабатывают на невнимательности и доверчивости владельца компьютера практически постоянно.

  Распространение ложных антивирусов осуществляется преступными группировками, в которых роли четко определены. Часть “сотрудников” создает и обслуживает системы анонимной регистрации доменов, оплаты хостинга и загрузки туда типового содержимого сайтов с вредоносным ПО. Причем, менять домены приходится часто — в основном, из-за технологии Safe Browsing, используемой в популярных браузерах Mozilla Firefox и Google Chrome для обнаружения и блокирования потенциально опасных веб-сайтов. Дизайн сайтов, конечно, меняется, как и “торговые марки” якобы антивирусов — все это происходит с помощью специально созданных конструкторов. Вторая часть “сотрудников” преступной фирмы занимается выпуском фальшивых антивирусов и сопутствующего ПО — сканеров системного трея, программ для удаления файлов и программ, чистки реестра и т. д. То есть всех тех популярных миниатюрных программ, которые пользователь может себе поставить. Естественно, ставят они к себе в систему вирусы.

  И, наконец, третья группа организует подставные фирмы для того, чтобы пройти финансовый аудит у банков и процессингов, занимается созданием “черных” схем увода денег после их поступления на счета, а также принимает заказы от сторонних группировок и частных лиц на атаки, которые можно организовать с помощью созданных ботнетов (их продажа осуществляется редко).

  Есть и специфические сервисы — к примеру... call-центр для “поддержки пользователей”. Схема работы таких служб достаточно проста — дело в том, что после того как пользователь с помощью бесплатной пробной версии якобы мощного антивируса загрузит, установит и проведет сканирование системы, он обязательно получает целый список обнаруженных вредоносных программ — вирусов, троянов, спам-ботов… Для излечения зараженного опаснейшими вредоносами компьютера предлагается приобрести полнофункциональную версию “антивируса”. Так вот саппорт, где отвечает человек, а не робот, создан для убеждения сомневающихся — в задачу таких “специалистов” входят нагнетание страха, чтобы у пользователя оперативно возникло желание незамедлительно приобрести “полноценную версию антивируса” за несколько десятков долларов.