Лжеантивирус

Лжеантивирус в компьютерная программа, которая делает вид, что удаляет вредоносное программное обеспечение, либо, действительно удаляя вредоносное ПО, взамен устанавливает своё.^[1] В последние годы (2008в2011) лжеантивирусы стали немалой угрозой персональным компьютерам.^[2] В первую очередь это связано с тем, что в США частично взяли под контроль индустрию spyware и adware^[3], а UAC и антивирусы оставляют всё меньше шансов ПО, проникающему без ведома пользователя. Да и «хороших» антивирусов стало достаточно много, чтобы сложно было запомнить их все: так, VirusTotal на конец 2011 года располагает 43 антивирусами.^[4]

[править] Распространение

В отличие от «нигерийских писем», которые играют на алчности и сострадании, лжеантивирусы играют на страхе,^[5] и пользователь сам проводит программу сквозь системы безопасности, встроенные в браузер и ОС.^[2] Сайт, например, может сообщить, что компьютер заражён, и спровоцировать пользователя купить или установить программу. Реже встречаются лжеантивирусы, которые распространяются маскировкой под обычный документ^[6] или через эксплойт^[6]^[7].

Чтобы как можно больше людей скачало программу, разработчики полагаются на агрессивную рекламу и даже могут «отравить» поисковые результаты^[8], в том числе по темам, не связанным с компьютерной безопасностью (например, по текущим новостям).^[9]^[10] Названия делают похожими на настоящие антивирусы: например, некий Security Essentials 2010 явно имитировал Microsoft Security Essentials. В 2010 году Google пришёл к заключению, что половина вредоносного ПО, проникающего через рекламу, и 11 тыс. доменов принадлежат лжеантивирусам.^[11] В 2011 тот же Google исключил из поиска домен co.cc, дешёвый хостинг, который облюбовали в том числе и распространители псевдоантивирусов.

Лжеантивирусы часто распространяются через партнёрские сети, которые за каждую удачную инсталляцию получают деньги. Иногда ответственными за механизмы распространения оказываются именно «партнёрки».^[12] Обнаружили, что партнёрская сеть, распространявшая Antivirus XP 2008, получила за свою работу около 150 тыс. $.^[13]

[править] Вред

Распространитель лжеантивируса может получать выгоду разными путями.

Обычным вредоносным поведением наподобие кражи аккаунтов, блокировки ОС, эксплуатации вычислительной мощи компьютера и т. д.
Программа может в «демонстрационном режиме» имитировать обнаружение вирусов и выдавать предупреждения о том, что ОС не защищена, а для исправления попросить зарегистрировать.^[14]^[15] Чтобы была видимость заражения, лжеантивирус может устанавливать настоящие вирусы, а затем находить их, искусственно дестабилизировать ОС, переставлять критические настройки и даже имитировать «синие экраны».^[2]
Просить деньги на псевдоблаготворительность.^[16]
Антивирусная программа может быть самая настоящая (обычно основанная на ClamAV). Вот только цена такой программы, как правило, больше, чем у антивируса Касперского. Продают лицензию обычно поквартально в чтобы сравнить цены, приходится вчитываться в условия и подключать арифметику.

Как правило,многие лжеантивирусы, появляющиеся в браузере, имитируют внешний вид папки "Мой компьютер" Windows XP,и используют звуки настоящих антивирусов (Например,звук обнаружения вируса - реальный визг свиньи из KaV,чтобы привлечь внимание пользователя) и всплывающие окна.Избавиться от них помогут специальные плагины.Для Mozilla Firefox такой плагин есть - AdBlockPlus.

[править] Простейшие признаки лжеантивируса

Настоящий антивирус не может гарантировать «стопроцентное излечение». Вирус должен попасться «в диком виде», кто-то из интернет-активистов отсылает его антивирусным специалистам, те исследуют его в и только после этого вирус попадает в базу. На это нужно время.
Разработчик истинного антивируса должен предлагать связь по самым разным каналам в почта, ICQ и Skype для тех, у кого компьютер работает, и телефон в для тех, у кого он заблокирован.
Серьёзные разработчики никогда не просят деньги за удаление вирусов. Даже у Касперского есть бесплатные варианты антивируса в Kaspersky AVP Tool и Kaspersky Rescue Disc. Деньги просят за дополнительные функции: брандмауэр, резидентный монитор, оперативное обновление и т. д.
Лечение или демонстрация через веб в признак лжеантивируса!^[17] Лечение через веб невозможно: веб-браузеры устроены так, чтобы сайт вообще не имел доступа к лежащим на компьютере файлам. А качество антивируса никак не коррелирует с его красотой.
Лжеантивирус могут выдать и «крючки» в лицензионном соглашении: либо это «развлекательная программа», либо оплата идёт за «техподдержку ClamAV»в

[править] Примечания

в‘ Symantec Report on Rogue Security Software. Symantec (28 октября 2009). Проверено 15 апреля 2010.
в‘ ¹ ² ³ Microsoft Security Intelligence Report volume 6 (July - December 2008) 92. Microsoft (8 апреля 2009). Проверено 2 мая 2009.
в‘ Leyden, John Zango goes titsup: End of desktop adware market. The Register (11 апреля 2009). Проверено 5 мая 2009.
в‘ Результат сканирования opensource-хука клавиатуры, который засветился в кейлогере
в‘ The Perfect Scam в Technology Review
в‘ ¹ ² Doshi, Nishant (2009-01-19), Misleading Applications Show Me The Money!, Symantec, <https://forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/53>. Проверено 2 мая 2009.
в‘ News Adobe Raeder and Acrobat Vulnerability. blogs.adobe.com. Проверено 25 ноября 2010.
в‘ Chu, Kian & Hong, Choon (2009-09-30), Samoa Earthquake News Leads To Rogue AV, F-Secure, <http://www.f-secure.com/weblog/archives/00001779.html>. Проверено 16 января 2010.
в‘ Hines, Matthew (2009-10-08), Malware Distributors Mastering News SEO, eWeek, <http://securitywatch.eweek.com/seo/malware_distributors_mastering_news_seo.html>. Проверено 16 января 2010.
в‘ Raywood, Dan (2010-01-15), Rogue anti-virus prevalent on links that relate to Haiti earthquake, as donors encouraged to look carefully for genuine sites, SC Magazine, <http://www.scmagazineuk.com/rogue-anti-virus-prevalent-on-links-that-relate-to-haiti-earthquake-as-donors-encouraged-to-look-carefully-for-genuine-sites/article/161431/>. Проверено 16 января 2010.
в‘ Moheeb Abu Rajab and Luca Ballard (2010-04-13). «The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution» (Google). Проверено 2010-11-18.
в‘ Doshi, Nishant (2009-01-27), Misleading Applications Show Me The Money! (Part 3), Symantec, <https://forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/55>. Проверено 2 мая 2009.
в‘ Stewart, Joe (2008-10-22), Rogue Antivirus Dissected - Part 2, SecureWorks, <http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2>
в‘ "Free Security Scan" Could Cost Time and Money, Federal Trade Commission, 2008-12-10, <http://www.ftc.gov/bcp/edu/pubs/consumer/alerts/alt121.shtm>. Проверено 2 мая 2009.
в‘ SAP at a crossroads after losing $1.3B verdict. Yahoo! News (24 November 2010). Проверено 25 ноября 2010.
в‘ CanTalkTech в Fake Green AV disguises as security software with a cause
в‘ Хотя сервисы онлайн-сканирования существуют (например, virusscan.jotti.org), они не предлагают сканирования дисков локального компьютера, а требуют явной отправки подозрительного файла на проверку. Проверка, как правило, идёт несколькими широко известными антивирусами.

[править] Ссылки

Howes, Eric L (2007-05-04), Spyware Warrior: Rogue/Suspect Anti-Spyware Products & Web Sites, <http://www.spywarewarrior.com/rogue_anti-spyware.htm>. Проверено 2 мая 2009.
(en) List_of_rogue_security_software, <https://en.wikipedia.org/List_of_rogue_security_software>
Kaspersky Lab: Rogue security software, <http://support.kaspersky.ru/viruses/rogue>. Проверено 24 апреля 2012.

[0] в‘ Symantec Report on Rogue Security Software. Symantec (28 октября 2009). Проверено 15 апреля 2010.

[microsoft-1-1] в‘ ¹ ² ³ Microsoft Security Intelligence Report volume 6 (July - December 2008) 92. Microsoft (8 апреля 2009). Проверено 2 мая 2009.

[2] в‘ Leyden, John Zango goes titsup: End of desktop adware market. The Register (11 апреля 2009). Проверено 5 мая 2009.

[3] в‘ Результат сканирования opensource-хука клавиатуры, который засветился в кейлогере

[4] в‘ The Perfect Scam в Technology Review

[symantec-2-5] в‘ ¹ ² Doshi, Nishant (2009-01-19), Misleading Applications Show Me The Money!, Symantec, <https://forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/53>. Проверено 2 мая 2009.

[blog_adobe-6] в‘ News Adobe Raeder and Acrobat Vulnerability. blogs.adobe.com. Проверено 25 ноября 2010.

[fsecure-7] в‘ Chu, Kian & Hong, Choon (2009-09-30), Samoa Earthquake News Leads To Rogue AV, F-Secure, <http://www.f-secure.com/weblog/archives/00001779.html>. Проверено 16 января 2010.

[eweek-8] в‘ Hines, Matthew (2009-10-08), Malware Distributors Mastering News SEO, eWeek, <http://securitywatch.eweek.com/seo/malware_distributors_mastering_news_seo.html>. Проверено 16 января 2010.

[sc-magazine-9] в‘ Raywood, Dan (2010-01-15), Rogue anti-virus prevalent on links that relate to Haiti earthquake, as donors encouraged to look carefully for genuine sites, SC Magazine, <http://www.scmagazineuk.com/rogue-anti-virus-prevalent-on-links-that-relate-to-haiti-earthquake-as-donors-encouraged-to-look-carefully-for-genuine-sites/article/161431/>. Проверено 16 января 2010.

[10] в‘ Moheeb Abu Rajab and Luca Ballard (2010-04-13). «The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution» (Google). Проверено 2010-11-18.

[symantec-4-11] в‘ Doshi, Nishant (2009-01-27), Misleading Applications Show Me The Money! (Part 3), Symantec, <https://forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/55>. Проверено 2 мая 2009.

[secureworks-12] в‘ Stewart, Joe (2008-10-22), Rogue Antivirus Dissected - Part 2, SecureWorks, <http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2>

[ftc-1-13] в‘ "Free Security Scan" Could Cost Time and Money, Federal Trade Commission, 2008-12-10, <http://www.ftc.gov/bcp/edu/pubs/consumer/alerts/alt121.shtm>. Проверено 2 мая 2009.

[microsoft-3-14] в‘ SAP at a crossroads after losing $1.3B verdict. Yahoo! News (24 November 2010). Проверено 25 ноября 2010.

[15] в‘ CanTalkTech в Fake Green AV disguises as security software with a cause

[16] в‘ Хотя сервисы онлайн-сканирования существуют (например, virusscan.jotti.org), они не предлагают сканирования дисков локального компьютера, а требуют явной отправки подозрительного файла на проверку. Проверка, как правило, идёт несколькими широко известными антивирусами.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

Вредоносное программное обеспечение
Инфекционное вредоносное ПО	Компьютерный вирус (список) · Сетевые черви (список) · Троянская программа · Загрузочный вирус · Хронология
Методы сокрытия	Бэкдор · Компьютер-зомби · Руткит
Вредоносные программы для прибыли	Adware · Privacy-invasive software · Ransomware · Spyware · Бот · Ботнет · Веб-угрозы · Кейлогер · Scareware (лжеантивирус) · Порнодиалер
По операционным системам	Вредоносное ПО для Linux · Вирусы для Palm OS · Макровирус · Мобильный вирус
Защита	Defensive computing · Антивирусная программа · Межсетевой экран · Система обнаружения вторжений · Предотвращение утечек
Контрмеры	Anti-Spyware Coalition · Computer surveillance · Honeypot · Operation: Bot Roast

Лжеантивирус

Содержание

[править] Распространение

[править] Вред

[править] Простейшие признаки лжеантивируса

[править] Примечания

[править] Ссылки

Личные инструменты

Пространства имён

Варианты

Просмотры

Действия

Поиск

Навигация

Участие

Печать/экспорт

Инструменты

На других языках