Кіян КБ-11

Фальшивий антивірус — комп'ютерна програма, яка імітує видалення шкідливих програм, або, видаляючи одну шкідливу програму, натомість встановлює іншу.^[1] У останні роки (2008 — 2014) значимість фальшивих антівірусов як загрози персональним комп'ютерам зросла.^[2] В першу чергу, це пов'язано з тим, що в США частково взяли під контроль індустрію шпигунський програмний продукт та рекламне програмне забезпечення^[3], а UAC та антивіруси залишають все менше шансів ПО, проникаючого без відома користувача. Та й повноцінних антивірусних програм стало настільки багато, що складно запам'ятати їх усі. Так, VirusTotal на кінець 2011 року в своєму розпорядженні мав 43 антивіруси.^[4]

Поширення

На відміну від «нігерійських листів», які грають на жадібності та співчутті, фальшиві антівіруси грають на страху,^[5] і користувач сам проводить програму крізь систему безпеки, вбудовану в браузер та ОС.^[2] Сайт, наприклад, може повідомити, що комп'ютер заражений, і спровокувати користувача купити або встановити програму. Рідше трапляються фальшиві антівіруси, які поширюються маскуванням під звичайний документ ^[6] або через експлойт^[6][7]. Існують браузерні «антивіруси», що імітують вікна ОС (наприклад, «Мій комп'ютер»), вікна та звуки справжніх антивірусів. Позбутися від них допоможуть звичайні засоби блокування реклами на зразок Adblock Plus.

Щоб якомога більше людей завантажили програму, розробники використовують агресивну рекламу та навіть можуть «отруїти» пошукові результати^[8], в тому числі темами, не пов'язаними з комп'ютерною безпекою (наприклад, поточними новинами).^{[9] [10]} Назви роблять схожими на справжні антивіруси: наприклад, якийсь Security Essentials 2010явно імітував Microsoft Security Essentials. 2010 року Google прийшов до висновку, що половина шкідливого ПО, що проникає через рекламу, — фальшиві антивіруси.^[11] У 2011 той же Google виключив з пошуку домен co.cc, дешевий хостинг,^[12] який облюбували в тому числі і розповсюджувачі фальшивих антивірусів.

Фальшиві антивіруси часто поширюються через партнерські мережі, які за кожну вдалу інсталяцію отримують гроші. Іноді відповідальними за механізми розповсюдження виявляються саме «партнерки».^[13] Виявили, що партнерська мережа, що розповсюджувалаAntivirus XP 2008, отримала за свою роботу близько 150 тис $.^[14]

Фахівці з BitDefender 2011 року виявили неординарного троянця. Хоч він і не є фальшивим антівірусом в звичайному сенсі, він розпізнає 16 звичайних антивірусів, деінсталює їх і замінює імітацією.^[15]

Вигода для розповсюджувача

Розповсюджувач може отримувати прибуток від фальшивого антівіруса різними шляхами.

• Звичайне для шкідливої ​​програми поведінка: крадіжка акаунтів, блокування ОС, експлуатація обчислювальної мощі комп'ютера і т.п.
• Програма може в «демонстраційному режимі» імітувати виявлення вірусів та видавати попередження про те, що ОС не захищена, а для виправлення попросити зареєструватися.^{[16] [17]} Щоб була видимість зараження, фальшивий антівірус може встановлювати справжні віруси, а потім знаходити їх, штучно дестабілізувати ОС, змінюючи критичні настройки, і навіть імітувати «сині екрани».^[2]
• Фальшивий антівірус може просити гроші на псевдоблагодійність.^[18]
• Антивірусна програма може бути справжнісінька (зазвичай заснована на ClamAV), проте її ціна, зазвичай, вище, ніж ціни на аналоги. Продають ліцензію зазвичай поквартально — щоб порівняти ціни, доводиться вчитуватися в умови та підключати арифметику.

Найпростіші ознаки лжеантівіруса

Сайт

• Лікування або демонстрація через веб.^[19][20] Лікування через веб неможливе: веб-браузери влаштовані так, що сайт взагалі не має доступу до файлів, які знахлдяться на комп'ютері. А ефективність антивіруса ніяк не корелює з красою інтерфейсу.
• Багато неіснуючих нагород.^[20]
• Справжній антивірус не може гарантувати «стовідсоткове лікування». Вірус повинен попастися «в дикому вигляді», хтось із інтернет-активістів відсилає його антивірусним фахівцям, ті досліджують його — і лише після цього вірус потрапляє в базу. На це потрібен час.
• «Гачки» в ліцензійній угоді: або це «розважальна програма», або оплата йде за «техпідтримку ClamAV".^[20]
• Оплата через SMS. Легальні антивіруси віддають перевагу платіжні системи та банківські картки.^[20]

Програма

• розпізнається іншими антивірусами.^[20]
• Маленький розмір інсталятора чи ні фази інсталяції.^[20] Dr. Web CureIt займає більше 100 мегабайт, аналогічна версія антивірусу Касперського — близько 150.
• Спрацьовує на «чистії» ОС, встановленої з самого початку.^[20]
• Звичайний резидентний антивірус, скануючи диск, ніколи не викликає спрацьовування UAC. Якщо ж при особливих операціях (установка, оновлення виконуваних модулів) UAC все ж спрацював — його вікно не може бути жовтим (непідписана програма).
• Уже найпростіша функціональність платна, без всяких випробувальних періодів та безкоштовних версій.^[20] Наприклад, у Лабораторії Касперського є безкоштовні варіанти антивіруса — Kaspersky AVP ToolтаKaspersky Rescue Disk. Гроші просять за додаткові функції: брандмауер, резидентний монітор, оперативне оновлення і т. Д.
• Нав'язливі повідомлення про те, що комп'ютер вразливий або потрібно купити програму — а найчастіше те й інше одночасно.^[20]
• Можуть бути відсутні найпростіші функції, притаманні будь-якій поважаючій себе резидентній програмі: тимчасово зупинити антивірус, деінсталювати програму стандартними засобами ОС.^[20] Може не бути й інших налаштувань, властивих справжньому антивірусу (проксі-сервери, списки винятків).^[20]

Примітки

1. Symantec Report on Rogue Security Software. Symantec. 28 жовтня 2009. Архів оригіналу (PDF) за 13 серпня 2012. Процитовано 15 квітня 2010.
2. Microsoft Security Intelligence Report volume 6 (July — December 2008). Microsoft. 8 квітня 2009. с. 92. Архів оригіналу за 13 серпня 2012. Процитовано 2 травня 2009.
3. Leyden, John (11 квітня 2009). Zango goes titsup: End of desktop adware market. The Register. Архів оригіналу за 13 серпня 2012. Процитовано 5 травня 2009.
4. Результат сканування opensource-хука клавіатури, який був використан в кейлоггері.
5. The Perfect Scam — Technology Review
6. Doshi, Nishant (19 січня 2009), Misleading Applications – Show Me The Money!, Symantec, процитовано 2 травня 2009
7. News Adobe Reader and Acrobat Vulnerability. blogs.adobe.com. Архів оригіналу за 13 серпня 2012. Процитовано 25 November 2010.
8. Chu, Kian; Hong, Choon (30 вересня 2009), Samoa Earthquake News Leads To Rogue AV, F-Secure, процитовано 16 січня 2010
9. Hines, Matthew (8 жовтня 2009), Malware Distributors Mastering News SEO, eWeek, процитовано 16 січня 2010
10. Raywood, Dan (15 січня 2010), Rogue anti-virus prevalent on links that relate to Haiti earthquake, as donors encouraged to look carefully for genuine sites, SC Magazine, процитовано 16 січня 2010
11. Moheeb Abu Rajab and Luca Ballard. The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution. — Google, 2010. — 13 квітня. Процитовано 2010-11-18.
12. Google забанив домени.CO.CC|http://info.nic.ru
13. Doshi, Nishant (27 січня 2009), Misleading Applications – Show Me The Money! (Part 3), Symantec, процитовано 2 травня 2009
14. Stewart, Joe (22 жовтня 2008), Rogue Antivirus Dissected — Part 2, SecureWorks
15. Фальшивий антівірус-хамелеон — Securelist
16. "Free Security Scan" Could Cost Time and Money, Federal Trade Commission, 10 грудня 2008, процитовано 2 травня 2009
17. SAP at a crossroads after losing $1.3B verdict. Yahoo! News. 24 November 2010. Архів оригіналу за 13 серпня 2012. Процитовано 25 November 2010.
18. CanTalkTech — Fake Green AV disguises as security software with a cause
19. Хоч сервіси онлайн-сканування існують (наприклад, VirusTotal), вони не пропонують сканування дисків локального комп'ютера, а вимагають відправлення підозрілого файла на перевірку. Перевірка,як правило, їде декількома відомими антивірусами.
20. Лабораторія Касперського про фальшиві антивіруси

Посилання

• Howes, Eric L (4 травня 2007), Spyware Warrior: Rogue/Suspect Anti-Spyware Products & Web Sites, процитовано 2 травня 2009
• (en) List_of_rogue_security_software
• Kaspersky Lab: Rogue security software, процитовано 24 квітня 2012

Шаблон:Шкідливе програмне забезпечення Шаблон:Форми розповсюдження ПЗ