По делам судить или намерениям?
19 марта 2019
В начале февраля в сети широко распространилась новость о новом лжеантивирусе. Он работал в браузере, был реализован на JavaScript и имитировал процесс сканирования компьютера пользователя. В общем-то, ничего нового.
«Антивирусная правДА!» не раз обращалась к теме лжеантивирусов (Scareware).
Лжеантивирусы – это программы, которые, не являясь антивирусами, имитируют защиту компьютера доверчивой жертвы. Они сообщают пользователю о якобы найденных проблемах и предлагают заплатить за покупку полной версии.
Напомним, как они работают:
При посещении определенного сайта пользователь видит окно, имитирующее антивирусную проверку, по итогам которой получает уведомление о найденных вирусах.
Для устранения проблемы предлагается воспользоваться «антивирусом». После инсталляции программа прописывается в списке автоматически загружаемых пользовательских приложений – Login Items. Таким образом, она активизируется каждый раз, когда пользователь входит в систему или включает компьютер, и периодически «находит» вредоносные объекты в системе, напоминая о необходимости их «вылечить».
Типичное сообщение в браузере мы привели в еще более раннем выпуске:
Тоже хороший пример:
Что должен подумать пользователь, увидев сообщение от известного антивируса?
Такое мошенничество, как и многие другие, становится возможным вследствие невнимательности и отсутствия ИТ-знаний у пользователя – ведь из браузера, без установки приложения, компьютер просканировать невозможно. Тем не менее люди ведутся, и еще как. Страшно же! В результате по данным за 2010 год «в мировой сети загружается около 150 млн копий ложных антивирусов».
Число жертв насчитывает десятки тысяч пользователей.
И это еще не самая большая цифра. Из новости десятилетней давности:
В течение первых двух недель октября количество детектов лжеантивирусов согласно серверу статистики компании «Доктор Веб» держалось на уровне более 2,5 млн в сутки.
Два с половиной миллиона в сутки! Это, правда, программа, а не окно в браузере, но тем не менее. По классификации Dr.Web, такие вредоносные программы относятся к типу Trojan.Fakealert, и новые представители этого семейства появляются буквально каждый день. Скажем, 11 февраля 2019 года в базу попал Trojan.Fakealert.45800. То есть 45800-я разновидность! Не рекорд по количеству членов семейства, но очень и очень немало.
Время идет, а пользователи, причем не только неопытные, всё так же доверяют лжеантивирусам. Зная о том, что существуют неизвестные антивирусу вредоносные программы, они могут предположить, что их компьютер заражен, но только антивирус этого не знает! Доходит до странного:
Один представитель антивирусного вендора рассказал историю про одного из клиентов, который был крайне недоволен, что настоящая антивирусная программа заблокировала лжеантивирус. Он сказал: «Это был мой антивирус! Я заплатил за него!»
Подавляющее число лжеантивирусов – это банальное вымогательство. Но их возможности для злоумышленников могут быть гораздо шире:
Если я был бы киберпреступником и имел значительные финансовые ресурсы, я бы нанял талантливых специалистов для создания хорошей антивирусной программы, которая будет распространяться бесплатно. Антивирус будет сканировать весь компьютер, а особо важные документы пользователей зашифрует и отправит на мой сервер.
А еще лжеантивирус может быть использован для прикрытия работы основной вредоносной программы.
Вирус, проникнув в компьютер, сообщает пользователю о том, что установленные антивирусные программы являются нелицензионными и могут нанести вред ПК. Далее предлагается деинсталлировать антивирус пользователя, при этом, какую бы опцию ни выбрали, программа будет удалять защитную программу.
Вредоносная программа может различать и удалять защитные продукты таких компаний, как Microsoft, AVG, PC Tools, Zone Labs и др.
После того, как программа избавилась от антивирусов пользователя, она начинает устанавливать якобы свой антивирус AnVi Antivirus, который, естественно, никакой защитной программой не является. Тут же программа находит вредоносные файлы и предлагает совершить чистку, за которую пользователю нужно заплатить.
Ну а дальше можно установить своего троянца и под прикрытием лжеантивируса воровать или майнить без проблем.
А если начнется эпидемия – можно и лечение предложить! Один из вариантов Trojan.Fakealert позиционировался как утилита для лечения локальной сети от сетевого червя Conficker (Win32.HLLW.Shadow.based).
#лжеантивирус #браузер #JavaScript #вымогательство #мошенничество
Антивирусная правДА! рекомендует
- Не доверяйте незнакомым антивирусам! Производители настоящих антивирусных решений никогда не проверяют компьютер пользователя без его ведома. Сервисы проверки существуют, но воспользоваться ими можно только самостоятельно.
- Dr.Web знает и успешно удаляет лжеантивирусы, но вымогательство через сайт все равно возможно. Ведь лжеантивирусы на сайте — зачастую ничего не делающий код, не несущий никаких вредоносных действий!
- Блокировка доступа к мошенническим сайтам обеспечивается компонентом SpIDer Gate при помощи базы вредоносных сайтов. Эта база (как и базы Родительского контроля) присутствует в Dr.Web Security Space и отсутствует в Антивирусе Dr.Web, в связи с чем мы рекомендуем использовать именно Dr.Web Security Space.
- С такими антивирусами и вирусов не надо. Лжеантивирусы – это не только способ вымогательства небольших сумм (хотя, конечно, для кого как). Они дают злоумышленникам возможность для злонамеренных действий без страха обнаружения настоящим антивирусом. Поэтому не стоит устанавливать подозрительные программы, обещающие вам защиту.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
achemolganskiy
13:40:57 2019-03-20
Родриго
13:10:46 2019-03-20
Dvakota
11:51:08 2019-03-20
Людмила
09:31:04 2019-03-20
1. Первое что удивило - зачем тестировали те 138 антивирусов, что ничего не определяют. Тестеры этой лаборатории прекрасно и без тестов знают, что это не антивирусы. За чей счет они тратили время на бессмысленную работу и разве им самим не унизительно таким заниматься. Ведь не глупые люди должны они быть. Потратили время на 500 тыс. тестов!
Видимо уже не могут придумать за что бы еще с вендоров содрать денег:))
2. Насчет тестовой коллекции как всегда один и тот же вопрос - кто сказал, что все вошедшее туда было вирусами (в парадигме андроид-планеты - троянцами). НЕ секрет, что многие антивирусы считают вирусов (содержат сигнатуру) и на неработающие участки кодов ВПО. спрашивается, зачем?
Если "тебя участвовали" в тесте, но ты не заплатил за "участие" - образцы пропущенного ВПО тебе не дают. демократичненько. тебя использовали и унизили, а за что ты не имеешь права узнать. Для не понявших: Dr.Web не платит тестовым конторам - никаким.
3. победители. если сложить кол-во скачиваний их всех, у них в сумме получится то кол-вj, что у Dr.Web?:)))
Kvazar
05:13:53 2019-03-20
Lia00
00:49:29 2019-03-20
razgen
00:28:14 2019-03-20
Rider
00:20:20 2019-03-20
Геральт
21:46:46 2019-03-19
orw_mikle
21:27:47 2019-03-19
robot
21:11:23 2019-03-19
I23
21:05:03 2019-03-19
Lenba
20:57:19 2019-03-19
Zserg
20:21:49 2019-03-19
I46
20:12:58 2019-03-19
znamy
19:54:12 2019-03-19
anatol
19:11:06 2019-03-19
matt1954
18:56:11 2019-03-19
Шалтай Александр Болтай
18:48:01 2019-03-19
Шалтай Александр Болтай
18:40:55 2019-03-19
kozinka.ru
18:03:58 2019-03-19
SGES
14:26:18 2019-03-19
Татьяна
14:04:21 2019-03-19
Александр Ш.
13:32:52 2019-03-19
@admin, можете прокомментировать его итоги?
P.S. Интересная тема для выпуска проекта "Антивирусная правДА!".
Денисенко Павел Андреевич
13:23:21 2019-03-19
Toma
12:47:41 2019-03-19
Andromeda
12:37:37 2019-03-19
Владимир
12:33:32 2019-03-19
Альфа
12:25:10 2019-03-19
Anton_S
12:17:36 2019-03-19
zitkss
12:16:05 2019-03-19
Sasha50
11:36:28 2019-03-19
Oleg
11:28:37 2019-03-19
vinnetou
11:03:53 2019-03-19
marisha-san
11:00:55 2019-03-19
Alexander
10:56:03 2019-03-19
По-моему, это говорит, что опыт прошлого не особенно учитывается подрастающим поколением. По делам судить или намерениям? - не простой вопрос. Видит око, да зуб неймёт, - это когда хочется, но нет возможности. Но это не наш случай. Тут уж скорее Козьма Прутков: "Если на клетке слона прочтешь надпись "буйвол" - не верь глазам своим"...
Да, верь - не верь, но "сало надо перепрятать"... Проверил, на всякий случай, установленный Dr.Web Security Space, - всё нормально!!! Лицензионный и обновлённый... благодать... :))
Masha
10:53:46 2019-03-19
sanek-xf
10:09:58 2019-03-19
Natalya_2017
10:00:19 2019-03-19
dyadya_Sasha
09:54:56 2019-03-19
Dmur
09:50:44 2019-03-19
Александр
09:35:56 2019-03-19
maestro431
09:24:00 2019-03-19
vkor
09:16:48 2019-03-19
EvgenyZ
08:44:59 2019-03-19
Вячеслав
08:17:21 2019-03-19
Vlad X
08:07:15 2019-03-19
как-то случайно попробовал Dr.Web и остановился на нем,и не жалею.
Пaвeл
07:11:43 2019-03-19
ka_s
07:04:14 2019-03-19
B0RIS
06:32:54 2019-03-19