С июня 2011 года мы наблюдаем значительное уменьшение количества фальшивых антивирусов. В настоящее время фиксируем по 10 000 попыток заражения FakeAV ежесуточно. В то время как в июне эта величина достигала 50 000 — 60 000.
Количество попыток заражения Trojan-FakeAV в сутки, июнь-сентябрь 2011 г.
Несмотря на это наблюдается появление новых версий вредоносного ПО такого типа. Так, недавно мы создали для лжеантивирусов новое семейство — Trojan-FakeAV.Win32.OpenCloud.
Фрагмент работы Trojan-FakeAV.Win32.OpenCloud.h
На скриншоте обратите внимание на «детектирование» стандартных файлов Windows: notepad, wmplayer, paint, calc, explorer и т.д. Но несмотря на то что этот «антивирус» таким образом выдает себя, он упоминает облачную защиту «Cloud Protection», достаточно модную сейчас, — как бы заявляя о своей актуальности. Если пользователь все-таки решит оплатить эту фальшивку, то его ожидает еще один обман. В центре экрана с формой для оплаты указана сумма $52,95, а по бокам, мелким шрифтом добавлена оплата «пожизненной» лицензии, что доводит сумму, которую должен заплатить пользователь, до $72,85.
Страница оплаты Trojan-FakeAV.Win32.OpenCloud.h
Для отслеживания сайта, на котором будет осуществляться оплата поддельного антивируса, был применен WireShark. На представленном ниже скриншоте видно, что на хост ******online.com отправляется информация об установленной ОС (6.0.2900), ID партнера (8779), которому будет выплачен определенный процент и другая информация.
Скриншот работы программы WireShark, осуществляющей перехват трафика
По данным Whois сервиса, сайт ******online.com, используемый для оплаты «услуг» FakeAV был зарегистрирован 10 мая 2011 года на имя Denis Verdanskiy у русского регистратора.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
Domain name: *******ONLINE.COM Name Server: dns1.*******online.com 64.191.**.*** Name Server: dns2.*******online.com 64.191.**.*** Creation Date: 2011.10.05 Updated Date: 2011.10.22 Expiration Date: 2012.10.05 Status: DELEGATED Registrant ID: 2AOTCR9-RU Registrant Name: Denis Vernadskiy Registrant Organization: Denis Vernadskiy Registrant Street1: Moscow, B.Polyannaya 23, kv11 Registrant City: Moscov Registrant Postal Code: 109881 Registrant Country: RU |
Оказалось, что по IP-адресу, указанному в информации об NS-сервере исследуемого хоста, расположена партнерка под названием Money Racing AV. С помощью поисковика удалось найти информацию об этой партнерке на одном из русских андеграунд-форумов.
Объявление партнерки Money Racing AV
В объявлении злоумышленники предлагают распространять FakeAV, обещая платить $25 с каждой оплаты фальшивого антивируса. Это составляет чуть больше одной трети от того, что платит пользователь. По-видимому, остальная часть идет владельцам партнерки, которые обеспечивают «партнерам» сам поддельный антивирус, веб-интерфейс оплаты и собственно перевод денег жертвы.
Как мы видим, несмотря на значительный спад на рынке FakeAV, в настоящее время успешно существуют криминальные группы, которые занимаются их распространением. Поэтому будьте бдительны, когда увидите сообщения об «ошибках Windows» или «заражении системы». Ничего не оплачивайте и установите лицензионный антивирус.
Бизнес FakeAV жив и здоров