З України розходиться вірус під виглядом антивіруса від Microsoft

Поки служба безпеки України радить своїм громадянам пореже ходити в Рунет, західні фахівці з безпеки захоплюються шкідливою програмою-підробкою XP Antivirus 2008, сліди якої ведуть на Україну. Редактор TechNet Magazine Джеспер Йоханссон опублікував докладний розбір хитростей цієї програми.


Як повідомляє дослідник, влітку він зазначив нову хвилю спаму в блогах і форумах, із закликами відвідати сайти типу google-homepage.google-us.info, msn-us.info, yahoo-us.info і тому подібні. Домени були зареєстровані на Україні. Якщо користувач йде по такому посиланню, його перекидає на сайт Virus-securityscanner.com (або інший схожий). Одночасно виникає вікно з попередженням, що на комп’ютері знайдені віруси



Після цього користувачеві пропонують встановити антивірус XP Antivirus 2008, щоб вилікуватися. Насправді, у викачуваних файлі міститься завантажувач трояна Trojan-Downloader.Win32.FraudLoad.gen.


Подібні версії лже-антивірусів “від Microsoft“Попадалися й раніше. Проте зазвичай їх шахрайство на цьому етапі і закінчувалося – троян або крав персональні дані, або віддалено управляв комп’ютером (наприклад, для DDoS-атаки).


У даному ж випадку, користувачеві інсталюється дуже правдоподібна версія антивіруса. Програма пропонує ознайомитись з ліцензійною угодою, а потім створює підроблений Windows Security Center. І навіть дає посилання на свій “офіційний сайт”, де є керівництва користувача і форум техноддержкі. Це сайт xpantivirus.com, зареєстрований на жителя Одеси. Сайт досі працює. Вивчення його даних whois дозволяє виявити ще безліч аналогічних сайтів-підробок (virus-webscanner.com, onlinexpscanner.com і т.д.)


Незабаром після інсталяції фальшивий антивірус починає лякати користувача знайденими “вірусами”, зображує їх “усунення” – а заодно нагадує, що треба зареєструватися і заплатити за отриманий софт ($ 49.95 плюс ще додаткові послуги). Для оплати також створений ряд підроблених сайтів.



При цьому справжня антивірусна програма від Microsoft (Malicious Software Removal Tool) не виявила шкідливу.


Автор дослідження робить висновок, що настільки правдоподібна підробка може легко обдурити багато тисяч користувачів. У даному прикладі троян не проробляє особливо небезпечних дій – але оскільки він контролює комп’ютер, він цілком може завантажувати і інші шкідливі коди. Сайти, звідки поширюється зараза, постійно міняються, і сам шкідливий код міняється теж.


Йоханссон також вважає, що жоден справжній антивірусний сайт не повинен віддалено сканувати ваш комп’ютер прямо під час заходу на сайт, або пропонувати користувачеві відразу ж завантажити софт, без надання детальної інформації. На думку експерта, це ознака кримінальних сайтів.


Забавно, що у відповідь на це читачі журналу привели в приклад … саму компанію Microsoft, Яка просуває саме такий онлайновий сканнер Live OneCare. Так що переплутати дійсно легко.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*