Ай Ком Сервис FakeAV всё ещё жив! - 28 Октября 2011 - Ай Ком Сервис
Главная » 2011 » Октябрь » 28 » FakeAV всё ещё жив!
10:51
FakeAV всё ещё жив!
С июня 2011 года антивирусные аналитики и эксперты по информационной безопасности наблюдали значительное уменьшение количества фальшивых антивирусов. Так например в настоящее время, эксперты их "ЛК" фиксируют по 10 000 попыток заражения FakeAV ежесуточно. В то время как в июне этот показатель достигал 50 000 - 60 000 в сутки. Но несмотря на казалось бы положительную динамику, радоваться ещё рано. Как заявляют аналитики, сейчас наблюдается появление новых версий вредоносного программного обеспечения данного типа. Недавно ксперты создали для лжеантивирусов новое семейство — Trojan-FakeAV.Win32.OpenCloud.


Фрагмент работы Trojan-FakeAV.Win32.OpenCloud.h

На скриншоте обратите внимание на "детектирование” стандартных файлов Windows: notepad, wmplayer, paint, calc, explorer и т.д. Но несмотря на то что этот «антивирус» таким образом выдает себя, он упоминает облачную защиту "Cloud Protection”, достаточно модную сейчас, — как бы заявляя о своей актуальности. Если пользователь все-таки решит оплатить эту фальшивку, то его ожидает еще один обман. В центре экрана с формой для оплаты указана сумма $52,95, а по бокам, мелким шрифтом добавлена оплата "пожизненной” лицензии, что доводит сумму, которую должен заплатить пользователь, до $72,85.


Страница оплаты Trojan-FakeAV.Win32.OpenCloud.h

Для отслеживания сайта, на котором будет осуществляться оплата поддельного антивируса, экспертами был применен WireShark. На представленном ниже скриншоте видно, что на хост ******online.com отправляется информация об установленной ОС (6.0.2900), ID партнера (8779), которому будет выплачен определенный процент и другая информация.


Скриншот работы программы WireShark, осуществляющей перехват трафика

По данным Whois сервиса, сайт ******online.com, используемый для оплаты "услуг” FakeAV был зарегистрирован 10 мая 2011 года на имя Denis Verdanskiy у русского регистратора.

Domain name: *******ONLINE.COM
Name Server: dns1.*******online.com 64.191.**.***
Name Server: dns2.*******online.com 64.191.**.***
Creation Date: 2011.10.05
Updated Date: 2011.10.22
Expiration Date: 2012.10.05

Status: DELEGATED

Registrant ID: 2AOTCR9-RU
Registrant Name: Denis Vernadskiy
Registrant Organization: Denis Vernadskiy
Registrant Street1: Moscow, B.Polyannaya 23, kv11
Registrant City: Moscov
Registrant Postal Code: 109881
Registrant Country: RU

Оказалось, что по IP-адресу, указанному в информации об NS-сервере исследуемого хоста, расположена партнерка под названием Money Racing AV. С помощью поисковика удалось найти информацию об этой партнерке на одном из русских андеграунд-форумов.


Объявление партнерки Money Racing AV

В объявлении злоумышленники предлагают распространять FakeAV, обещая платить $25 с каждой оплаты фальшивого антивируса. Это составляет чуть больше одной трети от того, что платит пользователь. По-видимому, остальная часть идет владельцам партнерки, которые обеспечивают "партнерам” сам поддельный антивирус, веб-интерфейс оплаты и собственно перевод денег жертвы. Как мы видим, несмотря на значительный спад на рынке FakeAV, в настоящее время успешно существуют криминальные группы, которые занимаются их распространением. Поэтому будьте бдительны, когда увидите сообщения об "ошибках Windows” или "заражении системы”. Ничего не оплачивайте и установите лицензионный антивирус.







Категория: Компьютерные вирусы | Просмотров: 556 | Добавил: Administrator | Теги: Антивирусы, партнерка, фальшивые антивирусы, Лжеантивирусы, Trojan-FakeAV.Win32.OpenCloud, FAKEAV | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]