Бизнес FakeAV жив и здоров

С июня 2011 года мы наблюдаем значительное уменьшение количества фальшивых антивирусов. В настоящее время фиксируем по 10 000 попыток заражения FakeAV ежесуточно. В то время как в июне эта величина достигала 50 000 — 60 000.


Количество попыток заражения Trojan-FakeAV в сутки, июнь-сентябрь 2011 г.

Несмотря на это наблюдается появление новых версий вредоносного ПО такого типа. Так, недавно мы создали для лжеантивирусов новое семейство — Trojan-FakeAV.Win32.OpenCloud.


Фрагмент работы Trojan-FakeAV.Win32.OpenCloud.h

На скриншоте обратите внимание на “детектирование” стандартных файлов Windows: notepad, wmplayer, paint, calc, explorer и т.д. Но несмотря на то что этот «антивирус» таким образом выдает себя, он упоминает облачную защиту “Cloud Protection”, достаточно модную сейчас, — как бы заявляя о своей актуальности. Если пользователь все-таки решит оплатить эту фальшивку, то его ожидает еще один обман. В центре экрана с формой для оплаты указана сумма $52,95, а по бокам, мелким шрифтом добавлена оплата “пожизненной” лицензии, что доводит сумму, которую должен заплатить пользователь, до $72,85.


Страница оплаты Trojan-FakeAV.Win32.OpenCloud.h

Для отслеживания сайта, на котором будет осуществляться оплата поддельного антивируса, был применен WireShark. На представленном ниже скриншоте видно, что на хост ******online.com отправляется информация об установленной ОС (6.0.2900), ID партнера (8779), которому будет выплачен определенный процент и другая информация.


Скриншот работы программы WireShark, осуществляющей перехват трафика

По данным Whois сервиса, сайт ******online.com, используемый для оплаты “услуг” FakeAV был зарегистрирован 10 мая 2011 года на имя Denis Verdanskiy у русского регистратора.

Оказалось, что по IP-адресу, указанному в информации об NS-сервере исследуемого хоста, расположена партнерка под названием Money Racing AV. С помощью поисковика удалось найти информацию об этой партнерке на одном из русских андеграунд-форумов.


Объявление партнерки Money Racing AV

В объявлении злоумышленники предлагают распространять FakeAV, обещая платить $25 с каждой оплаты фальшивого антивируса. Это составляет чуть больше одной трети от того, что платит пользователь. По-видимому, остальная часть идет владельцам партнерки, которые обеспечивают “партнерам” сам поддельный антивирус, веб-интерфейс оплаты и собственно перевод денег жертвы.

Как мы видим, несмотря на значительный спад на рынке FakeAV, в настоящее время успешно существуют криминальные группы, которые занимаются их распространением. Поэтому будьте бдительны, когда увидите сообщения об “ошибках Windows” или “заражении системы”. Ничего не оплачивайте и установите лицензионный антивирус.

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *