Вредоносная реклама рассылается через ICQ

В последние несколько дней мы получили многочисленные сообщения о заражении компьютеров пользователей фальшивым антивирусом Antivirus 8.

Диалоговое окно установки фальшивого антивируса

Интересно, что всплывающие окна фальшивого антивируса появлялись, когда компьютер не использовался активно. Мы обнаружили, что это происходило в тот момент, когда программа ICQ получала и отображала новые рекламные сообщения.

Установив ICQ, я дал программе поработать пару минут, чтобы получить рекламу, и обнаружил следующее:

Эта страница размещена на сервере […]charlotterusse.eu.

Поскольку страница содержит iframe, можно предположить, что рекламный сервер магазина (Charlotte Russe – сеть магазинов одежды) был взломан, не так ли? А вот и нет: я выяснил, что кроме charlotterusse.com, ни один из серверов, адреса которых содержатся на этой странице, не имеет отношения к данному бренду одежды.

Это значит, что кто-то не поленился создать видимость действующего магазина, чтобы система распространения рекламы не заблокировала размещение рекламы, поскольку подобные системы отсеивают очевидно мошеннические заявки.

Однако самое интересное в данном случае то, что злоумышленники, чтобы отвести от себя подозрения в распространении вредоносного ПО, создали видимость того, что их сервер был взломан: «Мы тут ни при чем, просто кто-то взломал наш сервер». Скорее всего, распространитель рекламы на этот раз ограничится предупреждением, так что у мошенников будет по крайней мере еще один шанс заразить компьютеры пользователей.

Перед нами очередной пример того, что атаки могут проводиться с использованием доверенных программ. Вывод — защита от вредоносных программ необходима всегда.

Мы сообщили распространителю рекламы (yieldmanager) о происходящем. На момент написания этого текста ответ нами получен не был.