Фальшивий антивірус

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

Фальшивий антивірус — комп'ютерна програма, яка імітує видалення шкідливих програм, або, видаляє одну шкідливу програму, натомість завантажуючи іншу.[1] У останні роки (2008–2014) роль фальшивих антивірусів як загрози персональним комп'ютерам зросла.[2] У першу чергу, це пов'язано з тим, що в США частково взяли під контроль індустрію шпигунських програмних продуктів та рекламного програмного забезпечення[3], а служба захисту користувачів та антивіруси залишають все менше шансів ПЗ, що проникає без відома користувача. Та й повноцінних антивірусних програм стало настільки багато, що складно запам'ятати їх усі. Так, VirusTotal на кінець 2011 року в своєму розпорядженні мав 43 антивіруси.[4]

Поширення[ред. | ред. код]

На відміну від «нігерійських листів», які грають на жадібності та співчутті, фальшиві антивіруси грають на страху,[5] і користувач сам проводить програму крізь систему безпеки, вбудовану в браузер та ОС.[2] Сайт, наприклад, може повідомити, що комп'ютер заражений, і спровокувати користувача купити або встановити програму. Рідше трапляються фальшиві антивіруси, які поширюються маскуванням під звичайний документ[6] або через експлойт[6][7]. Існують браузерні «антивіруси», що імітують вікна ОС (наприклад, «Мій комп'ютер»), вікна та звуки справжніх антивірусів. Позбутися від них допоможуть звичайні засоби блокування реклами на зразок Adblock Plus.

Щоб якомога більша кількість людей завантажила програму, розробники використовують агресивну рекламу та навіть можуть «отруїти» пошукові результати[8], в тому числі темами, не пов'язаними з комп'ютерною безпекою (поточними новинами тощо).[9][10] Назви роблять схожими на справжні антивіруси:наприклад, Security Essentials 2010 явно імітував Microsoft Security Essentials. 2010 року Google прийшов до висновку, що половина шкідливого ПЗ, яке потрапляє через рекламу, — фальшиві антивіруси.[11] У 2011 той же Google виключив з пошуку домен co.cc, дешевий хостинг,[12] який полюбляли в тому числі і розповсюджувачі фальшивих антивірусів.

Фальшиві антивіруси часто поширюються через партнерські мережі, які за кожну вдалу інсталяцію отримують гроші. Іноді відповідальними за механізми розповсюдження виявляються саме «партнерки».[13] Виявили, що партнерська мережа, яка розповсюджувала Antivirus XP 2008, отримала за свою роботу близько 150 тис. $.[14]

Фахівці з BitDefender 2011 року виявили неординарного трояна. Хоч він і не є фальшивим антивірусом в звичайному розумінні, він розпізнає 16 справжніх антивірусів, деінсталює їх і замінює імітацією.[15]

Вигода для розповсюджувача[ред. | ред. код]

Розповсюджувач може отримувати прибуток від фальшивого антивірусу різними шляхами.

  • Звичайна для шкідливої ​​програми поведінка: крадіжка облікових записів, блокування ОС, експлуатація обчислювальної потужності комп'ютера тощо
  • Програма може в «демонстраційному режимі» імітувати виявлення вірусів та видавати попередження про те, що ОС не захищена, а для виправлення просити зареєструватися.[16][17] Щоб була видимість зараження, фальшивий антивірус може завантажувати справжні віруси, а потім знаходити їх, штучно дестабілізовувати ОС, змінюючи критичні налаштування, і навіть імітувати «сині екрани».[2]
  • Фальшивий антивірус може просити гроші на псевдо благодійність.[18]
  • Антивірусна програма може бути справжнісінька (зазвичай заснована на ClamAV), проте її ціна, зазвичай, вища, ніж ціни на аналоги. Продають ліцензію зазвичай поквартально — щоб порівняти ціни, доводиться вчитуватися в умови та застосовувати арифметику.

Найпростіші ознаки фальшивого антивірусу[ред. | ред. код]

Сайт[ред. | ред. код]

  • Лікування або демонстрація через веб.[19][20] Лікування через веб неможливе: веб-браузери влаштовані так, що сайт взагалі не має доступу до файлів, які знаходяться на комп'ютері. А ефективність антивірусу ніяк не корелює з красою інтерфейсу.
  • Багато несправжніх нагород.[20]
  • Справжній антивірус не може гарантувати «стовідсоткове лікування». Вірус потрібно «впіймати в дикому вигляді», хтось із інтернет-активістів надсилає його антивірусним фахівцям  — і лише після дослідження вірус потрапляє в базу. На це потрібен час.
  • «Гачки» в ліцензійній угоді: або це «розважальна програма», або оплата йде за «техпідтримку ClamAV».[20]
  • Оплата через SMS. Легальні антивіруси віддають перевагу платіжним системам та банківським карткам.[20]

Програма[ред. | ред. код]

  • розпізнається іншими антивірусами.[20]
  • Маленький розмір інсталятора чи фази інсталяції.[20] Dr. Web CureIt займає більше 100 мегабайт, аналогічна версія антивірусу Касперського — близько 150.
  • Спрацьовує на «чистій» ОС, встановленій з самого початку.[20]
  • Звичайний резидентний антивірус, скануючи диск, ніколи не викликає спрацювання служби захисту користувачів. Якщо ж при особливих операціях (встановлення, оновлення виконуваних модулів) UAC все ж спрацював — його вікно не може бути жовтим (непідписана програма).
  • Уже найпростіша функціональність платна, без всяких випробувальних періодів та безкоштовних версій.[20] Наприклад, у Лабораторії Касперського є безкоштовні варіанти антивірусу — Kaspersky AVP ToolтаKaspersky Rescue Disk. Гроші просять за додаткові функції: брандмауер, резидентний монітор, оперативне оновлення і т. Д.
  • Нав'язливі повідомлення про те, що комп'ютер вразливий або потрібно купити програму ,а найчастіше те й інше одночасно.[20]
  • Можуть бути відсутні найпростіші функції, притаманні будь-якій резидентній програмі, що поважає себе: тимчасово зупинити антивірус, деінсталювати програму стандартними засобами ОС.[20] Може не бути й інших налаштувань, властивих справжньому антивірусу (проксі-сервери, перелік винятків).[20]

Примітки[ред. | ред. код]

  1. Symantec Report on Rogue Security Software. Symantec. 2009-10-28. Архів оригіналу за 2012-08-13. Процитовано 2010-04-15. 
  2. а б в Microsoft Security Intelligence Report volume 6 (July — December 2008). Microsoft. 2009-04-08. с. 92. Архів оригіналу за 2012-08-13. Процитовано 2009-05-02. 
  3. Leyden, John (2009-04-11). Zango goes titsup: End of desktop adware market. The Register[en]. Архів оригіналу за 2012-08-13. Процитовано 2009-05-05. 
  4. Результат сканування opensource-хука клавіатури, який був використаний в кейлоггері.
  5. The Perfect Scam — Technology Review
  6. а б Doshi, Nishant (2009-01-19). Misleading Applications – Show Me The Money!. Symantec. Процитовано 2009-05-02. 
  7. News Adobe Reader and Acrobat Vulnerability. blogs.adobe.com. Архів оригіналу за 2012-08-13. Процитовано 25 November 2010. 
  8. Chu, Kian; Hong, Choon (2009-09-30). Samoa Earthquake News Leads To Rogue AV. F-Secure. Процитовано 2010-01-16. 
  9. Hines, Matthew (2009-10-08). Malware Distributors Mastering News SEO. eWeek. Процитовано 2010-01-16. 
  10. Raywood, Dan (2010-01-15). Rogue anti-virus prevalent on links that relate to Haiti earthquake, as donors encouraged to look carefully for genuine sites. SC Magazine. Процитовано 2010-01-16. 
  11. Moheeb Abu Rajab and Luca Ballard. The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution. — Google, 2010. — 13 квітня. Процитовано 2010-11-18.
  12. Google забанив домени.CO.CC|http://info.nic.ru
  13. Doshi, Nishant (2009-01-27). Misleading Applications – Show Me The Money! (Part 3). Symantec. Процитовано 2009-05-02. 
  14. Stewart, Joe (2008-10-22). Rogue Antivirus Dissected — Part 2. SecureWorks. 
  15. Фальшивий антівірус-хамелеон — Securelist
  16. "Free Security Scan" Could Cost Time and Money. Федеральна торговельна комісія[en]. 2008-12-10. Процитовано 2009-05-02. 
  17. SAP at a crossroads after losing $1.3B verdict. Yahoo! News[en]. 24 November 2010. Архів оригіналу за 2012-08-13. Процитовано 25 November 2010. 
  18. CanTalkTech — Fake Green AV disguises as security software with a cause
  19. Хоч сервіси онлайн-сканування існують (наприклад, VirusTotal), вони не пропонують сканування дисків локального комп'ютера, а вимагають відправлення підозрілого файлу на перевірку. Перевірка,як правило, виконується декількома відомими антивірусами.
  20. а б в г д е ж и к л м Лабораторія Касперського про фальшиві антивіруси

Посилання[ред. | ред. код]