Лжеантивирус

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Лжеантиви́рус (или псевдоантивирус) — компьютерная программа, которая имитирует удаление вредоносного программного обеспечения, или сначала заражает, потом удаляет.[1] К концу 2000-х годов значимость лжеантивирусов как угрозы персональным компьютерам повысилась.[2] В первую очередь, это связано с тем, что в США частично взяли под контроль индустрию spyware и adware[3], а UAC и антивирусы оставляют всё меньше шансов ПО, проникающему без ведома пользователя. Во-вторых, полноценных антивирусных программ стало настолько много, что сложно запомнить их все. Так, VirusTotal на конец 2015 года располагает 57 антивирусами.[4]

Описание и метод действия[править | править вики-текст]

Лжеантивирусы относятся к категории троянских программ[5], то есть программ-заразителей, распространяемых людьми с целью вымогательства банковских данных. В отличие от «нигерийских писем» (которые играют на алчности и сострадании), фишинга и ложных лотерейных выигрышей, лжеантивирусы похожи на винлокеры — они играют на страхе заражения системы[6], шантажируя пользователя для получения нужной информации. Встречаясь чаще всего под видом всплывающих окон веб-браузера, они якобы сканируют операционную систему пользователя и тут же выявляют в ней вирусы и другие вредоносные программы[2]. Для наибольшей достоверности, этот процесс также может сопровождаться внедрением одной или нескольких программ такого типа в систему путём обхода конфигурации[5], особенно если компьютер обладает минимальной и легкообходимой защитой. В итоге компьютер-жертва начинает выдавать сообщения о невозможности продолжения работы ввиду заражения, а лжеантивирус — упорно предлагать купить услугу или же разблокировать её, введя данные кредитной карты[7].

Самые первые лжеантивирусы возникли с развитием интернета и представляли собой лишь окна, имитирующие ОС (чаще всего — проводник Windows и рабочий стол интерфейса Windows XP) с присущими звуками при загрузке и нажатии кнопок. Такие окна легко убирались блокировщиками рекламы, например — Adblock Plus. Во второй половине 2000-х годов лжеантивирусы превратились в полноценные программы, и стали выдавать себя за настоящие антивирусы при помощи использования агрессивной рекламы, ложных пользовательских отзывов, или даже «отравления» поисковых результатов при вводе ключевых слов (в том числе по темам, не связанным с компьютерной безопасностью).[8][9][10] Такие программы задумывались с названиями, похожими на названия настоящих антивирусов (например Security Essentials 2010 вместо «Microsoft Security Essentials» или AntiVirus XP 2008 вместо «Norton AntiVirus») и работали по принципу прямого отправления денег распространителям — партнёрским сетям — за каждую удачную исталляцию.[11]

Статистика[править | править вики-текст]

В конце 2008 года обнаружили, что партнёрская сеть, распространявшая Antivirus XP 2008, получила за свою работу около 150 тыс. $.[12] В 2010 году Google пришёл к заключению, что половина вредоносного ПО, проникающего через рекламу, — лжеантивирусы.[13] В 2011 тот же Google исключил из поиска домен co.cc, дешёвый хостинг,[14] который облюбовали в том числе и распространители псевдоантивирусов. Специалисты из BitDefender в 2011 году обнаружили неординарного троянца. Хоть он и не является лжеантивирусом в обычном смысле, он распознаёт 16 обычных антивирусов, деинсталлирует их и заменяет имитацией.[15]

Выгода для распространителя[править | править вики-текст]

Распространитель может получать прибыль от лжеантивируса разными путями.

  • Обычное для вредоносной программы поведение: кража аккаунтов, блокировка ОС, эксплуатация вычислительной мощи компьютера и т. п.
  • Программа может в «демонстрационном режиме» имитировать обнаружение вирусов и выдавать предупреждения о том, что ОС не защищена, а для исправления попросить зарегистрировать.[16][17] Чтобы была видимость заражения, лжеантивирус может устанавливать настоящие вирусы, а затем находить их, искусственно дестабилизировать ОС, изменяя критические настройки, и даже имитировать «синие экраны».[2]
  • Лжеантивирус может просить деньги на псевдоблаготворительность.[18]
  • Антивирусная программа может быть самая настоящая (обычно основанная на ClamAV), однако её цена, как правило, выше, чем цены на аналоги. Продают лицензию обычно поквартально — чтобы сравнить цены, приходится вчитываться в условия и подключать арифметику.

Простейшие признаки лжеантивируса[править | править вики-текст]

Сайт[править | править вики-текст]

  • Лечение или демонстрация через веб.[19][20] Лечение через веб невозможно: веб-браузеры устроены так, чтобы сайт вообще не имел доступа к лежащим на компьютере файлам. А эффективность антивируса никак не коррелирует с красотой интерфейса.
  • Большое количество несуществующих наград.[20]
  • Настоящий антивирус не может гарантировать «стопроцентное излечение». Вирус должен попасться «в диком виде», кто-то из интернет-активистов отсылает его антивирусным специалистам, те исследуют его — и только после этого вирус попадает в базу. На это нужно время.
  • «Крючки» в лицензионном соглашении: либо это «развлекательная программа», либо оплата идёт за «техподдержку ClamAV».[20]
  • Оплата через SMS. Легальные антивирусы предпочитают платёжные системы и банковские карты.[20]

Программа[править | править вики-текст]

  • Маленький размер инсталлятора или нет фазы инсталляции.[20] Dr. Web CureIt занимает более 100 мегабайт, аналогичная версия антивируса Касперского — около 150. У некоторых антивирусов (например, Avast!) бывает миниатюрный интернет-инсталлятор, но тогда все эти мегабайты будут скачаны из интернета во время установки.
  • Срабатывает на «чистой» ОС, установленной с нуля,[20] обнаруживает не характерные для данной ОС вирусы (вирус, распространяющийся в Windows, выявляется для Linux).
  • Окно UAC жёлтое (неподписанная программа), или синее, но владелец неверный (утёкший ключ).
  • Если вы единственный администратор компьютера — программа, которую вы не устанавливали. Впрочем, утилиты поменьше, связанные с производительностью и безопасностью (например, чистильщики реестра) иногда распространяются «в придачу».
  • Уже простейшая функциональность платная, без всяких испытательных периодов и бесплатных версий.[20] Например, у Лаборатории Касперского есть бесплатные варианты антивируса — Kaspersky AVP Tool и Kaspersky Rescue Disk. Деньги просят за дополнительные функции: брандмауэр, резидентный монитор, оперативное обновление и т. д.
  • Навязчивые сообщения о том, что компьютер уязвим или нужно купить программу — а чаще всего то и другое одновременно.[20]
  • Могут отсутствовать простейшие функции, присущие любой уважающей себя резидентной программе: временно остановить антивирус, деинсталлировать программу стандартными средствами ОС.[20] Может не быть и других настроек, присущих настоящему антивирусу (прокси-серверы, списки исключений).[20]

Примечания[править | править вики-текст]

  1. Symantec Report on Rogue Security Software. Symantec (28 октября 2009). Проверено 15 апреля 2010. Архивировано из первоисточника 13 августа 2012.
  2. 1 2 3 Microsoft Security Intelligence Report volume 6 (July - December 2008) 92. Microsoft (8 апреля 2009). Проверено 2 мая 2009. Архивировано из первоисточника 13 августа 2012.
  3. Leyden, John Zango goes titsup: End of desktop adware market. The Register (11 апреля 2009). Проверено 5 мая 2009. Архивировано из первоисточника 13 августа 2012.
  4. Результат сканирования opensource-хука клавиатуры, который был использован в кейлоггере.
  5. 1 2 Doshi, Nishant (2009-01-19), «Misleading Applications – Show Me The Money!», Symantec, <https://forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/53>. Проверено 2 мая 2009. 
  6. The Perfect Scam — Technology Review
  7. News Adobe Reader and Acrobat Vulnerability. blogs.adobe.com. Проверено 25 ноября 2010. Архивировано из первоисточника 13 августа 2012.
  8. Chu, Kian & Hong, Choon (2009-09-30), «Samoa Earthquake News Leads To Rogue AV», F-Secure, <http://www.f-secure.com/weblog/archives/00001779.html>. Проверено 16 января 2010. 
  9. Hines, Matthew (2009-10-08), «Malware Distributors Mastering News SEO», eWeek, <http://securitywatch.eweek.com/seo/malware_distributors_mastering_news_seo.html>. Проверено 16 января 2010. 
  10. Raywood, Dan (2010-01-15), «Rogue anti-virus prevalent on links that relate to Haiti earthquake, as donors encouraged to look carefully for genuine sites», SC Magazine, <http://www.scmagazineuk.com/rogue-anti-virus-prevalent-on-links-that-relate-to-haiti-earthquake-as-donors-encouraged-to-look-carefully-for-genuine-sites/article/161431/>. Проверено 16 января 2010. 
  11. Doshi, Nishant (2009-01-27), «Misleading Applications – Show Me The Money! (Part 3)», Symantec, <https://forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/55>. Проверено 2 мая 2009. 
  12. Stewart, Joe (2008-10-22), «Rogue Antivirus Dissected - Part 2», SecureWorks, <http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2> 
  13. Moheeb Abu Rajab and Luca Ballard (2010-04-13). «The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution» (Google). Проверено 2010-11-18.
  14. Google забанил домены .CO.CC | http://info.nic.ru
  15. Лжеантивирус-хамелеон - Securelist
  16. «"Free Security Scan" Could Cost Time and Money», Federal Trade Commission, 2008-12-10, <http://www.ftc.gov/bcp/edu/pubs/consumer/alerts/alt121.shtm>. Проверено 2 мая 2009. 
  17. SAP at a crossroads after losing $1.3B verdict. Yahoo! News (24 November 2010). Проверено 25 ноября 2010. Архивировано из первоисточника 13 августа 2012.
  18. CanTalkTech — Fake Green AV disguises as security software with a cause
  19. Хотя сервисы онлайн-сканирования существуют (например, VirusTotal), они не предлагают сканирования дисков локального компьютера, а требуют явной отправки подозрительного файла на проверку. Проверка, как правило, идёт несколькими широко известными антивирусами.
  20. 1 2 3 4 5 6 7 8 9 10 Лаборатория Касперского о лжеантивирусах

Ссылки[править | править вики-текст]