Чем грозит навязчивая реклама фальшивого антивируса?

Согласно статистике Marshal, количество вредоносных сообщений с конца прошлого месяца несколько уменьшилось, но все еще составляет 11% спам-трафика. В первой половине сентября основным видом распространяемой в Интернете инфекции были трудноудаляемые вредоносные программы, рекламируемые как антивирус.

Данные программы имитируют на резидентном ПК процедуру сканирования и выводят множественные ложные уведомления об обнаружении различных вариантов сетевых угроз, предлагая владельцу приобрести полную версию «антивируса» за отдельную плату.

Вначале эти программы были достаточно просты, но со временем эволюционировали и стали, в большинстве своем, полиморфными. Кроме того, у них появились средства защиты от обнаружения, позволяющие на резидентной системе блокировать доступ к релевантным веб-страницам легальных антивирусных компаний.

По имеющимся сведениям, ассортимент ложных антивирусов в настоящее время значительно расширился; они могут фигурировать под такими заманчивыми названиями, как WinAntispyware 2008, Antivirus 2009, AntiVirus Lab 2009, Antispyware Pro XP, Windows AntiVirus,
Antivirus XP 2008
и т.п. Эксперты PandaLabs приравнивают
данные программы к категории инструментов для распространения навязчивой рекламы (adware), а в Trend Micro объединили все их варианты в семейство FAKEAV.

В настоящее время носителями этого вида инфекции могут являться спамовые сообщения с вредоносными ссылками, распространяемые по IM-каналам, электронной почте и в социальных сетях. FAKEAV также может быть загружен другими резидентными вредоносами или самим пользователем как кодек-программа viewer.exe для просмотра бесплатного видеоконтента.

Результатом загрузки «антивируса» может оказаться не только приобретение бесполезной программы или, как минимум, средства вывода на экран отвлекающих от работы ложных уведомлений. Для приобретения «полной версии» данной программы жертве инфицирования предлагается направить в руки злоумышленников личные данные, которые они впоследствии могут использовать по своему усмотрению.

В Marshal также зафиксировали спам-рассылку с ботнета Srizbi, которая свидетельствовала о тесном взаимодействии операторов разных ботнетов. Данные письма предлагали просмотреть некий компрометирующий получателя видеоролик. При активации указанной злоумышленниками ссылки жертва уведомлялась о необходимости установить все тот же кодек — файл viewer.exe, который, помимо «антивируса», содержал спамбот Pushdo. В итоге его загрузки резидентный ПК превращался в источник рассылки порноспама – вновь с зараженными ссылками.

Источник:
blog.trendmicro.co

Источник:
marshal.com