Несколько раз в своём блоге специалисты Лаборатории Касперского затрагивали тему фальшивых антивирусных программ (лже- антивирусы) и рассказывали, как с помощью технологий Black SEO (чёрные оптимизаторы) злоумышленники заставляют поисковые системы перенаправить пользователей на сайты фальшивых антивирусов. Недавно было обнаружено, что распространяемые фальшивые антивирусы, помимо всего прочего имеют в своем инструментарии кнопку Online Support (Техподдержка), которая как правило размещается в верхнем левом углу. Пользователь, нажимая на эту кнопку оказывается в чате такой же фальшивой техподдержки, предлагаемой таким же фальшивым антивирусом. Специалисты решили выяснить — отвечал ли на вопросы бот, распознающий ключевые слова, или реальные люди. Оказалось, что это реальные люди!

Выяснилось, что они предлагали техническую поддержку через чат, либо по телефону или электронной почте. Электронная почта особенно полезна, если вы не говорите по-английски. В чате вам предложат (на английском) прислать письмо на вашем родном языке на указанный адрес и получить поддержку опять же на вашем родном языке.

Если вы заразились фальшивой антивирусной программой через поисковик (опять этот Black SEO) и связались с их службой поддержки, вас обязательно спросят, для какой антивирусной программы вам нужна поддержка. Когда вы ответите, они предоставят вам «бесплатную пробную версию» программы, которая удалит вредоносные программы, обнаруженные первыми (у них очень похожие названия). Фальшивый антивирус будет «разговаривать» на языке вашей операционной системы. То есть, если вы, например, используете French Windows XP, то пользовательский интерфейс фальшивого антивируса будет на французском, что выглядит еще более убедительно. Пробная версия выглядит так:

Эта программа имеет интерфейс, похожий на интерфейс первого фальшивого антивируса — с такой же кнопкой Online support, — а вот ее имя немного отличается. В процессе переговоров с так называемой техподдержкой выяснилось, что первый фальшивый антивирус — это всего лишь «бесплатный сканер», а вот «пробная версия» — это уже полноценный продукт, только срок его действия составляет один (!) день. Кроме того, пробная версия не удаляет первый продукт, поэтому у них есть также специальные клинеры:

Это типа деинсталлятора. Для каждого продукта, который они «продают», он свой. И он на самом деле удаляет фальшивый антивирус с вашего компьютера, по крайней мере, частично. В зависимости от клинера, все может кончиться тем, что у вас в компьютере останутся какие-то файлы. Не исключено, что они могут дать кое-кому возможность снова запустить фальшивый антивирус. После чистки компьютер не возвращается к своему прежнему состоянию: в системном реестре все равно остаются изменения. После того, как вы почистили свой компьютер, вас привлекают к участию в онлайн-опросе:

Создается впечатление, что эти ребята очень серьезно относятся к мнению своих клиентов и делают все возможное для обеспечения их самыми лучшими продуктами и услугами.  Общаясь с их техподдержкой, были предприняты ряд действий, чтобы убедиться, что разговар происходит не с умным ботом. Первое, что было сделано, — задан простой математический вопрос:

Сотрудники ЛК хотели определить местонахождение людей, которые стоят за этой техподдрежкой, и выяснили, что, скорее всего, они базируются на Украине. Пытаясь убедиться, что это люди, а не боты, специалисты прибегли к маленькой хитрости. И поскольку это несложно, я ею с вами поделюсь, т.к. она подтверждает ход наших мыслей. Итак, была отправлена просьба прислать мне смайлик, для того, чтобы понять, реальный ли это человек или бот:

Зная, что они пришлют  стандартный смайлик, их попросили прислать длинный. Объясняем почему. Специалисты из «Лаборатории Касперского» рассказали, что в России (и, как показал поиск, в некоторых социальных сетях на Украине), многие чаттеры не используют «глазки» («:»).  Как правило, для длинного смайлика используется «:)))». Но чаттеры в этих странах прислали бы просто «))))», что подтвердило бы нашу гипотезу относительно их месторасположения. И вот что  получили:

Эти «))))» и есть тот длинный смайлик, который просили прислать. Забавно, у их смайликов не было «глазок», как и предполагалось. То есть месторасположение чаттеров угадали правильно.

Заключение:

Я связывался с их техподдержкой в 4 часа утра, и они действительно отвечали на вопросы, тем самым подтверждая, что оказывают помощь круглосуточно 7 дней в неделю. Они предлагают поддержку по электронной почте, по телефону, через чат. И вообще они очень хорошо организованы. Вы можете получить деинсталляторы для более старых версий их продуктов, а также пробные версии для новых. Их новые продукты, в отличие от предыдущих, «чистят» компьютер.

А вот пару сессий. Почему бы вам не посмотреть?