10:51 FakeAV всё ещё жив! | |
С июня 2011 года антивирусные аналитики и эксперты по информационной безопасности наблюдали значительное уменьшение количества
фальшивых антивирусов. Так например в настоящее время, эксперты их "ЛК" фиксируют по 10 000 попыток
заражения FakeAV ежесуточно. В то время как в июне этот показатель
достигал 50 000 - 60 000 в сутки. Но несмотря на казалось бы положительную динамику, радоваться ещё рано.
Как заявляют аналитики, сейчас наблюдается появление новых версий
вредоносного программного обеспечения данного типа. Недавно ксперты
создали для лжеантивирусов новое семейство —
Trojan-FakeAV.Win32.OpenCloud.
На скриншоте обратите внимание на "детектирование” стандартных файлов Windows: notepad, wmplayer, paint, calc, explorer и т.д. Но несмотря на то что этот «антивирус» таким образом выдает себя, он упоминает облачную защиту "Cloud Protection”, достаточно модную сейчас, — как бы заявляя о своей актуальности. Если пользователь все-таки решит оплатить эту фальшивку, то его ожидает еще один обман. В центре экрана с формой для оплаты указана сумма $52,95, а по бокам, мелким шрифтом добавлена оплата "пожизненной” лицензии, что доводит сумму, которую должен заплатить пользователь, до $72,85.
Для отслеживания сайта, на котором будет осуществляться оплата поддельного антивируса, экспертами был применен WireShark. На представленном ниже скриншоте видно, что на хост ******online.com отправляется информация об установленной ОС (6.0.2900), ID партнера (8779), которому будет выплачен определенный процент и другая информация.
По данным Whois сервиса, сайт ******online.com, используемый для оплаты "услуг” FakeAV был зарегистрирован 10 мая 2011 года на имя Denis Verdanskiy у русского регистратора. Domain name: *******ONLINE.COM Name Server: dns1.*******online.com 64.191.**.*** Name Server: dns2.*******online.com 64.191.**.*** Creation Date: 2011.10.05 Updated Date: 2011.10.22 Expiration Date: 2012.10.05 Status: DELEGATED Registrant ID: 2AOTCR9-RU Registrant Name: Denis Vernadskiy Registrant Organization: Denis Vernadskiy Registrant Street1: Moscow, B.Polyannaya 23, kv11 Registrant City: Moscov Registrant Postal Code: 109881 Registrant Country: RU Оказалось, что по IP-адресу, указанному в информации об NS-сервере исследуемого хоста, расположена партнерка под названием Money Racing AV. С помощью поисковика удалось найти информацию об этой партнерке на одном из русских андеграунд-форумов.
В объявлении злоумышленники предлагают распространять FakeAV, обещая платить $25 с каждой оплаты фальшивого антивируса. Это составляет чуть больше одной трети от того, что платит пользователь. По-видимому, остальная часть идет владельцам партнерки, которые обеспечивают "партнерам” сам поддельный антивирус, веб-интерфейс оплаты и собственно перевод денег жертвы. Как мы видим, несмотря на значительный спад на рынке FakeAV, в настоящее время успешно существуют криминальные группы, которые занимаются их распространением. Поэтому будьте бдительны, когда увидите сообщения об "ошибках Windows” или "заражении системы”. Ничего не оплачивайте и установите лицензионный антивирус.
| |
|
| |
| Всего комментариев: 0 | |