На дурака и не только

Разумеется, основными «клиентами» киберпреступников, специализирующихся на фальшивых антивирусах, являются люди неопытные. Для них находчивые хакеры специально создают новые приложения с яркими, характерными названиями вроде WinAntispyware 20xx, Antivirus 20xx, AntiVirus Lab 20xx, Anti­spyware Pro XP, Windows AntiVirus (вместо хх можно смело подставлять цифры, обозначающие нынешний или следующий год). Поскольку начинающие пользователи не знают ключевых игроков антивирусной индустрии, они вполне могут решить, что им действительно предлагается некое новое решение, и отнесутся к нему с доверием. Преступники усиливают впечатление тем, что создают для подобных продуктов качественные, комплексные сайты. Зачастую на них присутствуют сравнительные таблицы, показывающие, насколько «новая разработка» лучше изделий конкурентов, приводятся адреса и даже телефоны техподдержки, имеется форум – вообще все выглядит так, словно речь идет о подлинном, легитимном ПО. Коварные разработчики фальшивых антивирусов используют и цветовые ассоциации: например, зеленый или желтый цвета напоминают интерфейс известных защитных продуктов. Таким образом, среднестатистический пользователь, который мог мельком видеть программу-антивирус в офисе или на компьютере друга, подсознательно начинает испытывать доверие к вредоносному приложению.

Для более опытной аудитории изготавливаются суррогаты популярных защитных решений. В Сети можно найти копии сай­­тов «Лаборатории Касперского», Symantec и других известных игроков рынка – и скачать оттуда практически полные клоны продуктов, которые даже опытный пользователь может не отличить от настоящих. Разница, как вы понимаете, будет только в функцио­нальности.

Могу работать, могу не работать

Какими же возможностями обладают фальшивые антивирусы? В подавляющем большинстве случаев – никакими. На первоначальном этапе они лишь пугают пользователя, выводя страшные надписи о том, что компьютер якобы заражен и в нем найдены некие вредители, грозящие потерей важных данных, включая финансовые. Забегая вперед, можно сказать, что в итоге жертва и впрямь недосчитывается денег на банковском счете. Неподготовленный пользователь начинает паниковать, запускает сканирование в лжеанти­вирусе (если оно не было запущено автоматически) и с нетерпением ждет результата. Однако когда все «угрозы» будут найдены, за избавление от них пользователю предложат заплатить – прямо или опосредованно, например, купив полную версию программы (или лицензию на нее). Полторы-две тысячи рублей многим не кажутся чрезмерной суммой за «сохранность» данных – и после перевода денег на указанный счет программа рапортует, что теперь с компьютером все в порядке. Нередко пользователи так и остаются в неведении, не поняв, что стали жертвой мошенников. Для усиления реалистичности некоторые лжеантивирусы, попав в компьютер, тормозят си­стему, имитируя наличие некоей мнимой проблемы, от которой затем «избавляют» пользователя. Для особо наивных или дотошных есть программы «техподдержки»: можно позвонить по некоему телефону и с вами реально поговорят. Например, на тему продления лицензии или о том, почему необходимо отключить имеющийся на компьютере антивирус.

Да, как ни странно, подчас злоумышленники достигают успеха даже в ситуации, когда на компь­ютере жертвы имеется реальная антивирусная защита. Проблема решается с помощью социальной инженерии. Многие пользователи слышали о том, что два антивирусных решения не могут работать параллельно – возникают проблемы несовместимости и пр. ­В принципе так оно и есть: каждый известный производитель защитного ПО для обеспечения хорошего уровня безопасности должен интегрировать драйверы защитной программы глубоко в систему, на уровень ядра. И любой антивирус станет «ругаться» на присутствующий ­в системе незнакомый драйвер, банально кон­фликтовать на уровне используемых ресурсов. Поэтому когда при установке вредоносного антивируса звучит требование удалить или отключить уже установленный антивирус (в ряде случаев это происходит автоматически), пользователь вполне может поддаться на обман и без колебаний удалит реально полезное защитное приложение, которое после этого уже не обнаружит угрозу.

Впрочем, как вы уже, наверное, догадались, это еще сравнительно оптимистичный сценарий развития событий. Ведь ничто не мешает злоумышленникам заодно с фальшивым антивирусом занести целый букет вредоносных приложений, с помощью которых они смогут похитить важную персональную информацию, включая логины и пароли к различным сервисам, в том числе онлайн-банкингу, или сделать компьютер жертвы частью ботнета для рассылки спама. Подобный сценарий, увы, весьма вероятен.

Варианты доставки

Как же фальшивые антивирусы находят новых владельцев? В первую очередь, с помощью все той же социальной инженерии. Пользователи в массовом порядке получают вредоносные письма с предложениями скачать ПО, которое якобы поможет бороться с компьютерными угрозами. Навязчивые баннеры также могут рекламировать программы, нацеленные на опустошение вашего ко­шелька. Однако это самый про­стой – и недостаточно эффективный – подход; как правило, злоумышленники предпочитают бо­лее изо­щренные методы.

На баннерах или целых страницах зараженных либо заведомо вредоносных сайтов вместо рекламы появляется некий «антивирусный сканер» (он может быть очень похож на встроенное защитное решение Windows или главное окно известного защитного продукта), сообщающий, что компьютер-де заражен и его нужно срочно лечить. Доверчивый пользователь полагает, что информация исходит от Windows или установленного защитного ПО, поэтому кликает по баннеру. В результате загружается вредоносный «антивирус» или скрытно устанавливается троян, способный в дальнейшем сотворить с компьютером все что угодно.

Если и фальшивое сканирование не достигает цели, злоумышленники используют один из любимых приемов, который условно можно назвать «скачай кодек». Разнообразными способами – через почту, мессенджеры, социальные сети и т.п. – пользователю предлагают посмотреть шокирующие сюжеты с участием всевозможных звезд, клипы порнографического содержания, забавное домашнее видео, то есть такие разновидности контента, которые способны привлечь внимание многих. Подвох в том, что подобные линки приходят со взломанных аккаунтов друзей и коллег, людей, состоящих с вами в одной группе или находящихся в ва­шем контакт-листе, поэтому большинство пользователей относятся к ним с доверием. В итоге на компьютере появляется вредоносное ПО – либо пользователь действительно будет переправлен на некий сайт (как правило, копию YouTube или Facebook), где и впрямь обнаружится окно с видео. Однако для его воспроизведения требуется инсталляция «кодека», ну а согласие на эту операцию, сами понимаете, приведет к тем же результатам…

Наиболее вероятный сегодня (и совершенно незаметный для владельца компьютера) способ заражения основан на использовании уязвимостей нулевого дня и drive-by загрузок. То есть ранее неизученные и неизвестные угрозы и попытки загрузки вредоносного кода во время посещения сайтов сомнительного содержания. Через «прорехи» в операционной системе, браузере или стороннем ПО вредоносная программа (обычно троян-backdoor) незаметно достигает цели. Увы, в подобном случае не поможет даже антивирус: если он не обладает проактивным детектированием высокого уровня, то не сумеет предупредить о совершающемся или произошедшем заражении. А развернувшийся во всю ширь троян начинает «собирать» фальшивые антивирусы и прочую гадость, склоняя пользователя к покупке поддельной лицензии или полной версии вредоносной программы. Например, появившийся три года назад ботнет Conficer в одном из по­следних вариантов как раз закачивал на компьютер пользователя псевдоантивирус. Сегодня Conficer «установлен» на более чем 5 млн зараженных машин – даже если за фальшивый продукт заплатят всего 2% (100 000) пользователей, мошенники заработают на этом внушительные $5 млн.

Злоумышленники без устали модернизируют свои творения, используя, например, полиморфизм. При каждом скачивании с вредоносного сервера лжеантивирус имеет иную контрольную сумму и даже разные функции – вследствие этого сбивается сигнатурное детектирование защитных продуктов (которое в любом случае давно устарело). Киберпреступники совершенствуют также методы запугивания пользователей-жертв. Не так давно специалисты «Лаборатории Касперского» опубликовали блог-пост с разбором интересного примера псевдоантивируса, который красным цветом показывал в менеджере задач, что определенные системные службы и приложения заражены. Даже достаточно опытный пользователь может попасться на такую удочку. Более того, с каждым днем удалять фальшивые антивирусы становится все труднее: коварные «творцы» прописывают загрузчик на уровне главной загрузочной записи жесткого диска, прибегая к заражению компьютеров бут- и руткитами, корректно удалять которые умеют весьма немногие антивирусные программы.

Ловушка для новичка

Один из любимых приемов киберпреступников – поисковая оптимизация. Представим себе пользователя, озаботившегося тем, чтобы установить на компьютер защитную программу. Как правило, в подобных случаях люди набирают в поисковике слова «лучший антивирус» и т.п. Однако трудно предсказать, какую выборку ссылок они получат в результате. Скорее всего, в списке окажутся и ссылки на лжеантивирусы, так что пользователь рискует сделать неверный выбор. Злоумышленники достигают результата и с помощью так называемых Black SEO технологий, продвигая вредоносные сайты в «топы» поисковых машин.

Защищайтесь правильно

Как вы уже поняли, к безопасности компьютера следует относиться серьезно, не забывая несколько важных принципов.

Выбирать защитное решение нужно среди известных брендов, которые тестируются в средствах массовой информации, специализированных журналах. Сайт разработчика должен содержать информацию о компании, внятные контактные данные, телефоны отделов поддержки, продаж и пр. Почитайте отзывы пользователей на различных форумах о продукте, который хотите приобрести, – тем самым вы уточните реальные впечатления о нем.

Ни одна программа от «настоящих» производителей защитных решений не станет просить денег за лечение системы. Вместе с тем надо помнить, что пробные или специализированные (онлайн-) версии легитимных антивирусов, как правило, не способны в полной мере реализовать возможности программы: обнаружив заражение системы, они предложат для ее лечения купить полную версию продукта.

Избегайте необдуманных, импульсивных действий. Помните, что далеко не всем сообщениям можно верить. Внимательно изучите неожиданно возникшее окно, которое отчаянно сигнализирует о «заражении», – уверены ли вы в том, что подобное приложение есть на вашем компьютере? Если не можете ответить на вопрос, потратьте время на то, чтобы ра­зобраться в своем хозяйстве. Тогда, увидев всплывшее окно фальшивого антивируса, вы сразу определите источник опасности для вашей системы.

Не забывайте постоянно обновлять все установленные приложения. Производители ПО посредством патчей закрывают ошибки, влияющие на общую безопасность. Это в первую очередь касается операционной системы, браузеров и приложений от Adobe, в частности Adobe Reader. Обязательно помните, что самые главные элементы защиты компьютера – не антивирус с брандмауэром, а предельная осторожность, аккуратность и компетентность его пользователя.

Статья опубликована в журнале ComputerBild №10/2011 (стр. 30)