00:07 Необычный маркетинговый ход | |
В домене .co.cc, который в последние несколько месяцев замусорен
вредоносными субдоменами и в которых размещены страницы экплойтов и
вредоносные Java-приложения, теперь появились и страницы фальшивого
антивируса BestAntivirus2011.exe. То, что с многочисленных субдоменов .co.cc распространяются фальшивые
антивирусы, для вирусных аналитиков не новость. Тем не менее, из
десятков тысяч обнаруженных за сутки страниц лже-антивирусов,
размещенных в этом домене, одно имя вирусным аналитикам их "Лаборатории Касперского показалось интересным, а именно —
antispyware-macbook(dot)co(dot)cc. Такой маркетинговый ход необычен
даже для этих ребят. Означает ли это, что идет работа над еще одним
зловредом нацелившегося на Apple? Возможно да- считают эксперты. Хотя
отдельные из них сомневаются, поскольку считают, что платформа Windows
все еще доминирует, и данный распространитель
зловредов до сих пор упорно писал вредоносные программы именно для
Windows. Тем более странно, что Fast Windows Antivirus 2011 — «быстрый
Windows-антивирус 2011» — распространяется с доменов, в именах которых
присутствует слово macbook. Но изловчилась устроить так, что рекламные
баннеры, ведущие на ее сайты в
домене .co.cc, распространяются крупными рекламными сетями. Ниже
представлен неполный список слов, использованных в названиях субдоменов,
с которых в последние сутки-другие распространяется
Bestantivirus2011.exe. Отметим, что хостинг на этих субдоменах
невероятно дешевый, а то и вовсе бесплатный. Пользователям, заходящим на
такие сайты, демонстрируется стандартная страшилка "Your computer is
infected!", что означает «Ваш компьютер заражен!» и сообщение "Windows
Security has
found … on your system and will perform fast scan of system files"
-«Windows Security обнаружил … в вашей системе и выполнит быструю
проверку системных файлов». А теперь собственно, перейдём
непосредственно к списку: На данный момент эти страницы детектируются как Hoax.HTML. Fakeantivirus.y, однако в последние несколько месяцев варианты
зловреда быстро сменяли один другой. Не похоже, что эти страницы
связаны с Lizamoon (хотя какое-то пересечение возможно) — ходят слухи,
что Lizamoon уже прикрыли, а описываемый здесь фальшивый антивирус в
данный момент активно распространяется. Специалисты, возможно, обратят
внимание на то, что загружаемый при заражении компьютера компонент
передает заклинание "BOMBARDAMAXIMUM" из «Гарри Поттера» в качестве
аргумента командной строки.
| |
|
Всего комментариев: 0 | |