Злоумышленники распространяют вредоносное ПО под видом антивируса Microsoft

Злоумышленники распространяют вредоносное ПО под видом антивируса Microsoft

В данном случае, пользователю инсталлируется очень правдоподобная версия антивируса. Программа предлагает ознакомиться с лицензионным соглашением, а затем создает поддельный Windows Security Center. И даже дает ссылку на свой "официальный сайт", где имеются руководства пользователя и форум техноддержки.

Редактор TechNet Magazine Джеспер Йоханссон опубликовал подробный разбор действий программы-подделки XP Antivirus 2008.

Как сообщает исследователь, летом он отметил новую волну спама в блогах и форумах, с призывами посетить сайты типа google-homepage.google-us.info, msn-us.info, yahoo-us.info и тому подобные. Домены были зарегистрированы в Украине. Если пользователь идет по такой ссылке, его перебрасывает на сайт Virus-securityscanner.com (или другой похожий). Одновременно возникает окно с предупреждением, что на компьютере найдены вирусы.

После этого пользователю предлагают установить антивирус XP Antivirus 2008, чтобы излечиться. На самом деле, в скачиваемом файле содержится загрузчик трояна Trojan-Downloader.Win32.FraudLoad.gen.

Подобные версии лже-антивирусов "от Microsoft" попадались и раньше. Однако обычно их мошенничество на этом этапе и заканчивалось - троян либо крал персональные данные, либо удаленно управлял компьютером (например, для DDoS-атаки).

В данном же случае, пользователю инсталлируется очень правдоподобная версия антивируса. Программа предлагает ознакомиться с лицензионным соглашением, а затем создает поддельный Windows Security Center. И даже дает ссылку на свой "официальный сайт", где имеются руководства пользователя и форум техноддержки. Это сайт xpantivirus.com, зарегистрированный на жителя Одессы. Сайт до сих пор работает. Изучение его данных whois позволяет обнаружить еще множество аналогичных сайтов-подделок (virus-webscanner.com, onlinexpscanner.com и т.д.)

Вскоре после инсталляции фальшивый антивирус начинает пугать пользователя найденными "вирусами", изображает их "устранение" - а заодно напоминает, что надо зарегистрироваться и заплатить за полученный софт ($49.95 плюс еще дополнительные услуги). Для оплаты также создан ряд поддельных сайтов.

При этом настоящая антивирусная программа от Microsoft (Malicious Software Removal Tool) не обнаружила вредоносную.

Автор исследования делает вывод, что столь правдоподобная подделка может легко обмануть тысячи пользователей. В данном примере троян не проделывает особо опасных действий - но поскольку он контролирует компьютер, он вполне может загружать и другие вредоносные коды.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!