Наиболее известные представители таких программ — псевдоантивирусы, которые выводят сообщения об обнаружении вредоносных программ, но на самом деле ничего не находят и не лечат. Их задача состоит совсем в другом: убедить пользователя в наличии угрозы (на самом деле несуществующей) для компьютера и спровоцировать его уплатить деньги за активацию «антивирусного продукта». Такой вид программ, согласно классификации «Лабратории Касперского», называется FraudTool и относится к классу RiskWare (SpywareGuard2008, XPAntivirus, SystemSecurity, XpPoliceAntivirus, AwolaAntiSpyware, PC-AntiSpy, VirusIsolator, WinSpywareProtect, SpyNoMore, AntivirusXPPro, AntiSpyware, SpywareStop, WinAntiVirus, Antivirus2009, BachKhoa, AdvancedAntivirus, BestSeller, AntiSpywareBot и др.). Такие программы очень распространены, и популярность их у мошенников продолжает расти.

Основные методы распространения

Для начала давайте разберемся, как фальшивые антивирусы попадают на компьютеры пользователей. Для их распространения используются те же способы, что и для распространения большинства вредоносных программ, например скрытая загрузка при помощи Trojan-Downloader, эксплуатация уязвимостей взломанных/зараженных сайтов.

Однако чаще всего пользователь сам загружает на свой компьютер FraudTool. Для того чтобы этого добиться, злоумышленники используют специальные программы (Hoax) и рекламу в интернете.

Hoax — еще один вид программ-обманщиков. Их основное назначение — убедить пользователя в необходимости загрузки «волшебного» антивируса и установить фальшивку в систему, даже в случае отказа пользователя.

Hoax загружаются на компьютеры в основном с помощью бэкдоров или путем эксплуатации уязвимости на сайте. После установки программы появляется окно с предупреждением о том, что система содержит множество ошибок, поврежден реестр или происходит кража конфиденциальных данных.

Для распространения псевдоантивирусов мошенники используют и рекламу в интернете. В настоящее время множество сайтов размещают баннеры с информацией о новом «волшебном» продукте, который избавляет от всех проблем. Даже на каком-либо легальном ресурсе с большой долей вероятности можно увидеть мигающий баннер или навязчивую флэш-рекламу «нового антивируса». Кроме того, при веб-серфинге в окне браузера пользователя могут появляться всплывающие окна с предложением бесплатно загрузить антивирус.

Как правило, такое окно вообще не оставляет пользователю выбора, в нем присутствует только кнопка «OK» или «YES». Даже в тех случаях, когда якобы можно отказаться от предложения, фальшивый антивирус загружается независимо от того, какую кнопку выбрал пользователь — «YES» или «NO».

Главное — напугать

Как фальшивые антивирусы могут попасть в систему, теперь понятно. Осталось разобраться, что они после этого делают.

Первым этапом является сканирование системы. По ходу сканирования псевдоантивирус выводит сообщения, последовательность которых хорошо продумана: например, ошибка Windows, обнаружение вредоносных программ, необходимость установить антивирус. Иногда для того, чтобы создать у пользователя более надежную иллюзию работы программы, вместе с псевдоантивирусом на компьютер устанавливается специальный файл, который детектируется во время «сканирования».

При нажатии на кнопку удаления угроз в обоих случаях выдается окно, предлагающее купить поддельный продукт. Если пользователь решается на покупку «антивируса», ему предлагается множество способов оплаты — PayPal, American Express и т.д. После оплаты пользователь получает код для регистрации. Чтобы пользователь не заподозрил обмана, в обоих случаях присутствует корректная проверка кода — произвольные данные ввести нельзя.

Методы защиты

Хотя заражение компьютера фальшивыми антивирусами не наносит вреда системе, с их помощью мошенники умело выманивают деньги у неопытных пользователей. Яркий, эффектный интерфейс, набор пугающих сообщений о заражении компьютера и призывы купить «продукт» могут довольно легко сбить человека с толку и заставить его отдать деньги мошенникам. Для того чтобы обезопасить себя, необходимо запомнить несколько правил.

Если на вашем компьютере активизировался неизвестный антивирус, необходимо проверить, есть ли у фирмы, которая его распространяет, официальный сайт и техническая поддержка. Их отсутствие говорит о том, что перед вами фальшивка.

Надо помнить, что ни одна легальная программа, предназначенная для борьбы с вредоносным ПО, не будет сначала сканировать компьютер, а затем требовать деньги за активацию. Если вы сталкиваетесь с таким поведением неизвестного антивирусного продукта, ни в коем случае не платите за его использование! Лучше установите легальное антивирусное решение от известного производителя и избавьтесь от заразы на компьютере.

Не нужно обращать внимание на сообщения о заражении компьютера, которые могут появляться при посещении некоторых сайтов в интернете. Не щелкайте мышкой на подобные всплывающие окна даже в том случае, если они прорвались через защиту браузера или пакета класса Internet Security. Это простое правило в 99% случаев не даст фальшивке попасть на ваш компьютер.

securelist.com