Лжеспасателі, Криптографія, Security & Hack, статті

Останні два роки ми вже не раз писали про програми, які не є тим, за що себе видають. Найбільш відомі представники таких програм – псевдоантівіруси, які виводять повідомлення про виявлення шкідливих програм, але насправді нічого не знаходять і не лікують. Їх завдання полягає зовсім в іншому: переконати користувача в наявності загрози (насправді неіснуючої) для комп’ютера і спровокувати його сплатити гроші за активацію “антивірусного продукту”. Такий вид програм, відповідно до класифікації “Лабраторіі Касперського”, Називається FraudTool і відноситься до класу RiskWare.

 

Так виглядає головне вікно FraudTool.Win32.SpywareProtect2009


Такі програми дуже поширені, і популярність їх у шахраїв продовжує зростати. Якщо в першій половині 2008 р. Фахівці “Лабораторії Касперського” виявили понад три тисячі фальшивих антивірусів, то за аналогічний період 2009 року – більше 20 000 примірників.


Основні методи поширення


Для початку давайте розберемося, як фальшиві антивіруси потрапляють на комп’ютери користувачів. Для їх розповсюдження використовуються ті ж способи, що і для розповсюдження більшості зловмисних програм, наприклад прихована завантаження за допомогою Trojan-Downloader, експлуатація вразливостей зламаних / заражених сайтів.


Однак найчастіше користувач сам завантажує на свій комп’ютер FraudTool. Для того щоб цього домогтися, зловмисники використовують спеціальні програми (Hoax) і рекламу в інтернеті.


Hoax – ще один вид програм-ошуканців. Їх основне призначення – переконати користувача в необхідності завантаження “чарівного” антивіруса і встановити фальшивку в систему, навіть у разі відмови користувача.


Hoax завантажуються на комп’ютери в основному за допомогою бекдорів або шляхом експлуатації уразливості на сайті. Після установки програми з’являється вікно з попередженням про те, що система містить безліч помилок, пошкоджений реєстр або відбувається крадіжка конфіденційних даних.

 

Вікно, виведене Hoax.Win32.Fera на екран комп’ютера


На представленому вище скріншоті видно фальшиве попередження про можливе зараження комп’ютера шпигунськими програмами, а також заклик до встановлення “spyware remover”. Незалежно від відповіді користувача здійснюється спроба завантажити та встановити даний FraudTool.


Для поширення псевдоантівірусов шахраї використовують і рекламу в інтернеті. В даний час безліч сайтів розміщують банери з інформацією про новий “чарівному” продукті, який позбавляє від всіх проблем. Навіть на якомусь легальному ресурсі з великою часткою ймовірності можна побачити миготливий банер або нав’язливу флеш-рекламу “нового антивіруса”. Крім того, при веб-серфінгу в вікні браузера користувача можуть з’являтися спливаючі вікна з пропозицією безкоштовно завантажити антивірус. Приклад одного з таких вікон представлений на скріншоті нижче.

 

Вікно, виведене браузером Opera на екран комп’ютера


Як правило, таке вікно взагалі не залишає користувачеві вибору, в ньому присутня тільки кнопка “OK” або “YES”. Навіть у тих випадках, коли нібито можна відмовитися від пропозиції, фальшивий антивірус завантажується незалежно від того, яку кнопку вибрав користувач – “YES” або “NO”.


Не так давно фахівцями “Лабораторії Касперського” був виявлений спосіб динамічного завантаження псевдоантівірусов. Наприклад, за адресою ******** .net/online-j49/yornt.html був розміщений скрипт, який для подальшого переходу формував адресу виду http:// ******. mainsfile.com.com / index.html? Ref = “+ encodeURIComponent (document.referrer). Генерований адресу залежав від того, з якого сайту користувач потрапляв на сторінку зі скриптом (ця можливість реалізується за допомогою властивості document.referer). У нашому випадку перехід був виконаний на http://easyincomeprotection.cn/installer_90001.exe, де фахівцями “Лабораторії Касперського “був задетектірован новий лжеантівірус FraudTool.Win32.AntivirusPlus.kv.


Динамічне поширення дозволяє зловмисникам приховувати IP-адреси сторінок, з яких завантажуються шкідливі програми, що ускладнює отримання файлів антивірусними компаніями і, як наслідок, їх детектування. Таке поширення також використовується багатьма популярними хробаками і вірусами.


Так, мережевий черв’як Net-Worm.Win32.Kido.js, на основі якого створюються ботнети, використовує технологію DDNS, а також завантажує і встановлює в систему підроблений антивірус – FraudTool.Win32.SpywareProtect2009.s. Це свідчить про те, що, швидше за все, одна і та ж група вірусописьменників займається як мережними хробаками, так і помилковими антивірусами, причому перші використовуються для того, щоб безперешкодно встановити друге.


Головне – налякати


Як фальшиві антивіруси можуть потрапити в систему, тепер зрозуміло. Залишилося розібратися, що вони після цього робить.


Першим етапом є сканування системи. По ходу сканування псевдоантівірус виводить повідомлення, послідовність яких добре продумана: наприклад, помилка Windows, виявлення шкідливих програм, необхідність встановити антивірус. Іноді для того, щоб створити у користувача надійнішу ілюзію роботи програми, разом з псевдоантівірусом на комп’ютер встановлюється спеціальний файл, який детектируется під час “сканування”.


Фальшивий антивірус пропонує виправити нібито виявлені помилки і вилікувати систему, але вже за гроші. Чим достовірніше імітація дій серйозного легального ПЗ, тим більше у шахраїв шансів отримати плату за “роботу” лжеантівіруса.


Для прикладу розглянемо дії FraudTool.Win32.DoctorAntivirus і FraudTool.Win32.SmartAntivirus2009. На скріншотах нижче добре видно, як вони знаходять неіснуючі проблеми в Windows XP Professional Service Pack 2, а також просять заплатити за активацію продукту. Наприклад, DoctorAntivirus виявив 40 бекдорів, троянських і шпигунських програм і видав попередження про те, що їх наявність може привести до різних системним збоїв. Інший лжелекарь, SmartAntivirus2009, знайшов ще більше проблем, також відзначивши їх небезпеку.

 

Результати “сканування” системи лжеантівірусамі
DoctorAntivirus 2008 (ліворуч) і Smart Antivirus 2009 (праворуч)


При натисканні на кнопку видалення загроз в обох випадках видається вікно, що пропонує купити підроблений продукт. Якщо користувач вирішується на покупку “антивіруса”, йому пропонується безліч способів оплати – PayPal, American Express і т.д. Після оплати користувач отримує код для реєстрації. Щоб користувач не запідозрив обману, в обох випадках присутня коректна перевірка коду – довільні дані ввести не можна.

 

Пропозиції про активацію для FraudTool.Win32.DoctorAntivirus
(Ліворуч) і FraudTool.Win32.SmartAntivirus 2009 (праворуч)


Зазначимо, що вікна активації DoctorAntivirus і SmartAntivirus2009 практично ідентичні. Це наводить на думку про те, що розробники такого роду програм можуть використовувати генератор коду, який змінює лише деякі рядки та стилі вікон, а все інше залишає незмінним.


Як правило, після завантаження “безкоштовної пробної версії” вам пропонують активувати повну версію, але вже за гроші (як, наприклад, на скріншоті, представленому нижче).

 

Вікно з пропозицією активувати фальшивий антивірус, виведене FraudTool.Win32.AntiMalware2009


А на наступному скріншоті показано вікно з пропозицією активувати Smart-Anti-Spyware, причому явно видно російське походження пропонованого продукту. Особливо цікавий спосіб оплати – за допомогою SMS, відправленого на короткий номер. Нагадаємо, що викачування грошей користувачів за допомогою відправлених на преміум-номера SMS активно практикується при реалізації різних схем шахрайства в Рунеті.


Конвеєр


Як ми вже відзначали вище, візуальне оформлення деяких вікон, які видають фальшиві антивіруси, у багатьох випадках ідентично – ймовірно, автори такого роду програм використовують при їх створенні один і той же генератор коду.


Характерно, що з боротьби з антивірусами програми-фальшивки використовують ті ж механізми, які широко застосовуються в багатьох поліморфних хробаків і віруси. А саме: за допомогою шифрування даних ховається основне тіло програми, яке, як правило, містить рядки і посилання у відкритому вигляді. Для того щоб програма працювала, в файл поміщається динамічний код, який, перш ніж перейти до основного функціоналу, розшифровує тіло.


Для прикладу розглянемо два типових лжеантівіруса – FraudTool.Win32.MSAntivirus.cg і FraudTool.Win32.MSAntispyware2009.a. Це представники двох різних сімейств, проте, вони обидва захищені аналогічними поліморфними декріпторамі. Нижче представлені частини файлів обох FraudTool `ів, які містять розшифровувача. Обидва файлу володіють ідентичною структурою.

 

Фрагмент поліморфного декріптора FraudTool.Win32.MSAntivirus.cg

 

Фрагмент поліморфного декріптора FraudTool.Win32.MSAntispyware2009.a


Використання готових напрацювань дозволяє створювати безліч однотипних програм без значних часових затрат, а також обходити класичні сигнатури антивіруса. Виробництво псевдоантівірусов в Нині поставлено на потік, а еволюція FraudTool спрямована на ускладнення тіла програми, для того щоб збивати сигнатурного детектування антивірусів. При цьому псевдоантівіруси практично неможливо задетектіровать за допомогою евристичних сигнатур, які засновані на поведінковому аналізі. Це в першу чергу пов’язано з тим, що дуже складно технічно відрізнити звичайну програму-фальшивку, що відкривається в окремому вікні, від легальної користувальницької програми. Отже, якщо виконуваний файл помилкового антивірусу не упакований нелегальним пакувальником, то визначити його можна тільки за допомогою ручного аналізу. Це значно ускладнює автоматичне детектування нових версій неправдивих антивірусів.


Красномовна статистика


Подивимося, як з 2007 року відбувалося розвиток псевдоантівірусов.

 
Кількість нових сигнатур, детектуючих помилкові
антивіруси, місяці 2007 – 2009 рр..


Як видно з діаграми, зростання числа сигнатур для помилкових антивірусів стався в першій половині 2008 року, але в кінці року він уповільнився. Однак у травні 2009 року стався сплеск числа нових сигнатур.


Настільки значне збільшення популярності неправдивих антивірусів за останній рік обумовлено, в першу чергу, простотою їх розробки, налагодженою системою ефективного розповсюдження і високими прибутками, які шахраї отримують за короткий проміжок часу.


В даний час в колекції “Лабораторії Касперського існує 318 різних сімейств фальшивих антивірусів. У таблиці нижче представлена ​​перша двадцятка найпопулярніших сімейств таких програм, для детектування яких з 2007 року було створено найбільше сигнатур. Тільки на перші п’ять родин припадає 51,69% усіх сигнатур для детектування FraudTool. Всі назви представників такого роду програм містять ім’я антивірусної програми, яку вони імітують.




































































Назва сімейства Кількість сигнатур
not-a-virus:FraudTool.Win32.SpywareGuard2008 4652
not-a-virus:FraudTool.Win32.XPAntivirus 4519
not-a-virus:FraudTool.Win32.SystemSecurity 2090
not-a-virus:FraudTool.Win32.XpPoliceAntivirus 1950
not-a-virus:FraudTool.Win32.AwolaAntiSpyware 1370
not-a-virus:FraudTool.Win32.PC-AntiSpy 1356
not-a-virus:FraudTool.Win32.VirusIsolator 1134
not-a-virus:FraudTool.Win32.WinSpywareProtect 855
not-a-virus:FraudTool.Win32.SpyNoMore 758
not-a-virus:FraudTool.Win32.Agent 575
not-a-virus:FraudTool.Win32.AntivirusXPPro 434
not-a-virus:FraudTool.Win32.AntiVirusPro 374
not-a-virus:FraudTool.Win32.AntiSpyware 344
not-a-virus:FraudTool.Win32.AntivirusPlus 338
not-a-virus:FraudTool.Win32.SpywareStop 312
not-a-virus:FraudTool.Win32.WinAntiVirus 278
not-a-virus:FraudTool.Win32.Antivirus2009 227
not-a-virus:FraudTool.Win32.BachKhoa 224
not-a-virus:FraudTool.Win32.AdvancedAntivirus 223
not-a-virus:FraudTool.Win32.BestSeller 214
not-a-virus:FraudTool.Win32.AntiSpywareBot 206

 
Частка нових сигнатур, детектуючих Hoax і FraudTool,
в загальній кількості сигнатур місяці, 2007-2009 рр..


Наведений вище графік свідчить те, що бази сигнатур програм, націлених на обман користувачів, в основному поповнюються не за рахунок загального потоку детектіруемих об’єктів, а саме за рахунок таких фальшивок, популярність яких весь час зростає.


В даний час поява нового псевдоантівіруса стало цілком звичайним явищем: кожен день “Лабораторія Касперського” виявляє 10-20 нових програм, що відносяться до Hoax або FraudTool. Ще два-три роки тому таке здавалося неможливим: новий зловредів, що належить до одного з цих видів, з’являвся лише раз на два дні.


Методи захисту


Хоча зараження комп’ютера фальшивими антивірусами не завдає шкоди системі, з їх допомогою шахраї вміло виманюють гроші у небезпеку. Яскравий, ефектний інтерфейс, набір лякають повідомлень про зараження комп’ютера і заклики купити “продукт” можуть досить легко збити людину з пантелику і змусити його віддати гроші шахраям. Для того щоб убезпечити себе, необхідно запам’ятати кілька правил.


Якщо на вашому комп’ютері активізувався невідомий антивірус, необхідно перевірити, чи є у фірми, яка його розповсюджує, офіційний сайт і технічна підтримка. Їх відсутність говорить про те, що перед вами фальшивка.


Треба пам’ятати, що жодна легальна програма, призначена для боротьби з шкідливим ПО, не буде спочатку сканувати комп’ютер, а потім вимагати гроші за активацію. Якщо ви стикаєтеся з такою поведінкою невідомого антивірусного продукту, ні в якому разі не платите за його використання! Краще встановіть легальне антивірусне рішення від відомого виробника і позбудьтеся від зарази на комп’ютері.


Не потрібно звертати увагу на повідомлення про зараження комп’ютера, які можуть з’являтися при відвідуванні деяких сайтів в інтернеті. Чи не клацайте мишкою на подібні спливаючі вікна навіть в тому випадку, якщо вони прорвалися через захист браузера або пакета класу Internet Security. Це просте правило в 99% випадків не дасть фальшивці потрапити на ваш комп’ютер.


Висновок


Сумно, що програми, які створюються для обману користувачів, останнім часом стають все більш і більш популярними. Тепер це вже не поодинокі вироби, а генерація нового коду, поставлена ​​на потік. В даний час відбувається активний розвиток цього виду програм-ошуканців – змінюється все: від способів і масштабів їх розповсюдження до методів обходу антивірусів.


Можна припустити, що далі розвиток псевдоантівірусов буде йти в бік ускладнення методів обходу антивірусів. Чисельність програм, швидше за все, буде збільшуватися, як і кількість обдурених користувачів. Думаю, що ми ще не раз будемо звертати увагу на нових і цікавих представників фраудтулов.


Зростаюча популярність псевдоантівірусов дає підставу припускати, що їх використання є дуже прибутковою справою для шахраїв. ТА чим більше піддається паніці користувач, то більша ймовірність, що шахраї отримають від нього гроші. Ми ще раз закликаємо всіх встановити на комп’ютер хорошу легальну антивірусну програму. Це дозволить вам бути впевненим у захисті свого комп’ютера і не кидати на вітер свої гроші.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*