Лжеантивирус (L'ygumnfnjrv)

Лжеантиви́рус (или псевдоантивирус) — компьютерная программа, которая имитирует удаление вредоносного программного обеспечения или сначала заражает, потом удаляет^[1]. К концу 2000-х годов значимость лжеантивирусов как угрозы персональным компьютерам повысилась^[2], понизившись в июне 2011 года^[3]. В первую очередь появление лжеантивирусов связано с тем, что в США частично взяли под контроль индустрию spyware и adware^[4], а UAC и антивирусы оставляют всё меньше шансов ПО, проникающему без ведома пользователя. Во-вторых, полноценных антивирусных программ стало настолько много, что сложно запомнить их все. Так, VirusTotal на 17 января 2021 года располагает 70 антивирусами^[5].

Описание и метод действия[править | править код]

Лжеантивирусы относятся к категории троянских программ^[6], то есть пользователь сам проводит их через системы безопасности ОС и антивирусов. В отличие от «нигерийских писем» (которые играют на алчности и сострадании), фишинга и ложных лотерейных выигрышей, лжеантивирусы играют на страхе заражения системы^[7]. Встречаясь чаще всего под видом всплывающих окон веб-браузера, они якобы сканируют операционную систему пользователя и тут же выявляют в ней вирусы и другие вредоносные программы^[2]. Для наибольшей достоверности этот процесс также может сопровождаться внедрением одной или нескольких программ такого типа в систему путём обхода конфигурации^[6], особенно если компьютер обладает минимальной и легкообходимой защитой. В итоге компьютер-жертва начинает выдавать сообщения о невозможности продолжения работы ввиду заражения, а лжеантивирус — упорно предлагать купить услугу или же разблокировать её, введя данные кредитной карты^[8].

Самые первые лжеантивирусы возникли с развитием интернета и представляли собой лишь окна, имитирующие ОС (чаще всего — проводник Windows и рабочий стол интерфейса Windows XP) с присущими звуками при загрузке и нажатии кнопок. Такие окна легко убирались блокировщиками рекламы, например, Adblock Plus. Во второй половине 2000-х годов лжеантивирусы превратились в полноценные программы и стали выдавать себя за настоящие антивирусы при помощи использования агрессивной рекламы, ложных пользовательских отзывов или даже «отравления» поисковых результатов при вводе ключевых слов (в том числе по темам, не связанным с компьютерной безопасностью)^[9]^[10]^[11]. Такие программы задумывались с названиями, похожими на названия настоящих антивирусов (например, Security Essentials 2010 вместо «Microsoft Security Essentials» или AntiVirus XP 2008 вместо «Norton AntiVirus») и работали по принципу прямого отправления денег распространителям — партнёрским сетям за каждую удачную инсталляцию^[12].

Статистика[править | править код]

В конце 2008 года обнаружено, что партнёрская сеть, распространявшая Antivirus XP 2008, получила за свою работу около 150 тыс. $^[13]. В 2010 году Google пришёл к заключению, что половина вредоносного ПО, проникающего через рекламу, — лжеантивирусы^[14]. В 2011 тот же Google исключил из поиска домен co.cc, дешёвый хостинг^[15], на которых размещались в том числе и распространители псевдоантивирусов.

Выгода для распространителя[править | править код]

Распространитель может получать прибыль от лжеантивируса разными путями.

Обычное для вредоносной программы поведение: кража аккаунтов, блокировка ОС, эксплуатация вычислительной мощи компьютера и т. п.
Программа может в «демонстрационном режиме» имитировать обнаружение вирусов и выдавать предупреждения о том, что ОС не защищена, а для исправления попросить зарегистрировать^[16]^[17]. Чтобы была видимость заражения, лжеантивирус может устанавливать настоящие вирусы, а затем находить их, искусственно дестабилизировать ОС, изменяя критические настройки, и даже имитировать «синие экраны»^[2].
Лжеантивирус может просить деньги на псевдоблаготворительность^[18].
Антивирусная программа может быть самая настоящая (обычно основанная на ClamAV), однако её цена, как правило, выше, чем цены на аналоги. Продают лицензию обычно поквартально — чтобы сравнить цены, приходится вчитываться в условия и подключать арифметику.

Простейшие признаки лжеантивируса[править | править код]

Сайт-распространитель[править | править код]

Лечение или демонстрация через веб^[19]. Веб-браузеры устроены так, чтобы сайт вообще не имел доступа к лежащим на компьютере файлам. Потому лечение через веб невозможно, а службы антивирусной проверки наподобие VirusTotal не сканируют дисков, а требуют явной отправки подозрительного файла на проверку. А эффективность антивируса никак не коррелирует с красотой интерфейса.
Большое количество несуществующих наград^[19].
Настоящий антивирус не может гарантировать «стопроцентное излечение». Вирус должен попасться «в диком виде», кто-то из интернет-активистов отсылает его антивирусным специалистам, те исследуют его — и только после этого вирус попадает в базу. На это нужно время.
«Крючки» в лицензионном соглашении: либо это «развлекательная программа», либо оплата идёт за «техподдержку ClamAV»^[19].
Оплата через SMS. Легальные антивирусы предпочитают платёжные системы и банковские карты^[19].

Программа[править | править код]

Маленький размер инсталлятора или нет фазы инсталляции^[19]. У любого антивируса есть большая вирусная база: Dr. Web CureIt занимает более 200 мегабайт, аналогичная версия антивируса Касперского — около 150. У некоторых антивирусов (например, Avast) бывает миниатюрный интернет-инсталлятор, но тогда все эти мегабайты будут скачаны из интернета во время установки.
Опознаётся другими антивирусами^[19].
Срабатывает на «чистой» ОС, установленной с нуля^[19], обнаруживает не характерные для данной ОС вирусы (вирус, распространяющийся в Windows, выявляется для Linux). Но: пиратские версии ОС наверняка содержат взломщик, и нередко — зловреды в придачу.
Окно UAC жёлтое (неподписанная программа), или синее, но владелец неверный (утёкший ключ). Написание антивируса — дело сложное и дорогое, и разработчики антивируса могут позволить себе сертификат для программ — в отличие от мелкого ПО, чьи разработчики ищут, как дёшево сделать окно UAC синим.
Если вы единственный администратор компьютера — программа, которую вы не устанавливали. Впрочем, утилиты поменьше, связанные с производительностью и безопасностью — например, утилиты для чистки реестра — иногда распространяются «в придачу».
Уже простейшая функциональность платная, без всяких испытательных периодов и бесплатных версий^[19]. Деньги просят за дополнительные функции: брандмауэр, резидентный монитор, оперативное обновление и т. д. И уж никакой антивирус не требует денег за устранение угрозы.
Навязчивые сообщения о том, что компьютер уязвим или нужно купить программу — а чаще всего то и другое одновременно^[19].
Могут отсутствовать простейшие функции, присущие любой уважающей себя резидентной программе: временно остановить антивирус, деинсталлировать программу стандартными средствами ОС^[19]. Может не быть и других настроек, присущих настоящему антивирусу (прокси-серверы, списки исключений)^[19].

Примечания[править | править код]

↑ Symantec Report on Rogue Security Software (неопр.). Symantec (28 октября 2009). Дата обращения: 15 апреля 2010. Архивировано 13 августа 2012 года.
↑ ¹ ² ³ Microsoft Security Intelligence Report volume 6 (July - December 2008) (неопр.) 92. Microsoft (8 апреля 2009). Дата обращения: 2 мая 2009. Архивировано 13 августа 2012 года.
↑ Бизнес FakeAV жив и здоров | Securelist (неопр.). Дата обращения: 31 июля 2020. Архивировано 21 октября 2020 года.
↑ Leyden, John Zango goes titsup: End of desktop adware market (неопр.). The Register (11 апреля 2009). Дата обращения: 5 мая 2009. Архивировано 13 августа 2012 года.
↑ Результат сканирования opensource-хука клавиатуры, который был замечен в кейлогере.
↑ ¹ ² Doshi, Nishant (2009-01-19), Misleading Applications – Show Me The Money!, Symantec, Дата обращения: 2 мая 2009 (недоступная ссылка)
↑ The Perfect Scam — Technology Review (неопр.). Дата обращения: 7 июля 2011. Архивировано 29 января 2012 года.
↑ News Adobe Reader and Acrobat Vulnerability (неопр.). blogs.adobe.com. Дата обращения: 25 ноября 2010. Архивировано 13 августа 2012 года.
↑ Chu, Kian; Hong, Choon (2009-09-30), Samoa Earthquake News Leads To Rogue AV, F-Secure, Дата обращения: 16 января 2010 Источник (неопр.). Дата обращения: 2 июля 2011. Архивировано 29 октября 2014 года.
↑ Hines, Matthew (2009-10-08), Malware Distributors Mastering News SEO, eWeek, Дата обращения: 16 января 2010 Источник (неопр.). Дата обращения: 2 июля 2011. Архивировано из оригинала 21 декабря 2009 года.
↑ Raywood, Dan (2010-01-15), Rogue anti-virus prevalent on links that relate to Haiti earthquake, as donors encouraged to look carefully for genuine sites, SC Magazine, Дата обращения: 16 января 2010 Источник (неопр.). Дата обращения: 2 июля 2011. Архивировано 29 октября 2014 года.
↑ Doshi, Nishant (2009-01-27), Misleading Applications – Show Me The Money! (Part 3), Symantec, Дата обращения: 2 мая 2009 (недоступная ссылка)
↑ Stewart, Joe (2008-10-22), Rogue Antivirus Dissected - Part 2, SecureWorks Источник (неопр.). Дата обращения: 2 июля 2011. Архивировано 2 марта 2009 года.
↑ Moheeb Abu Rajab and Luca Ballard. The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution (англ.) : journal. — Google, 2010. — 13 April. Архивировано 20 февраля 2019 года.
↑ Google забанил домены .CO.CC | http://info.nic.ru (неопр.). Дата обращения: 7 октября 2013. Архивировано 29 октября 2014 года.
↑ "Free Security Scan" Could Cost Time and Money, Federal Trade Commission, 2008-12-10, Дата обращения: 2 мая 2009 Источник (неопр.). Дата обращения: 2 июля 2011. Архивировано 15 ноября 2012 года.
↑ SAP at a crossroads after losing $1.3B verdict (неопр.). Yahoo! News (24 ноября 2010). Дата обращения: 25 ноября 2010. Архивировано из оригинала 13 августа 2012 года.
↑ CanTalkTech — Fake Green AV disguises as security software with a cause (неопр.). Дата обращения: 2 июля 2011. Архивировано из оригинала 8 июля 2011 года.
↑ ¹ ² ³ ⁴ ⁵ ⁶ ⁷ ⁸ ⁹ ¹⁰ ¹¹ Лаборатория Касперского о лжеантивирусах (неопр.). Дата обращения: 4 мая 2014. Архивировано 28 мая 2015 года.

Ссылки[править | править код]

Howes, Eric L (2007-05-04), Spyware Warrior: Rogue/Suspect Anti-Spyware Products & Web Sites, Дата обращения: 2 мая 2009
(en) List_of_rogue_security_software
Kaspersky Lab: Rogue security software, Дата обращения: 24 апреля 2012

[1] Symantec Report on Rogue Security Software (неопр.). Symantec (28 октября 2009). Дата обращения: 15 апреля 2010. Архивировано 13 августа 2012 года.

[microsoft-1-2] ¹ ² ³ Microsoft Security Intelligence Report volume 6 (July - December 2008) (неопр.) 92. Microsoft (8 апреля 2009). Дата обращения: 2 мая 2009. Архивировано 13 августа 2012 года.

[3] Бизнес FakeAV жив и здоров | Securelist (неопр.). Дата обращения: 31 июля 2020. Архивировано 21 октября 2020 года.

[4] Leyden, John Zango goes titsup: End of desktop adware market (неопр.). The Register (11 апреля 2009). Дата обращения: 5 мая 2009. Архивировано 13 августа 2012 года.

[5] Результат сканирования opensource-хука клавиатуры, который был замечен в кейлогере.

[symantec-2-6] ¹ ² Doshi, Nishant (2009-01-19), Misleading Applications – Show Me The Money!, Symantec, Дата обращения: 2 мая 2009 (недоступная ссылка)

[7] The Perfect Scam — Technology Review (неопр.). Дата обращения: 7 июля 2011. Архивировано 29 января 2012 года.

[blog_adobe-8] News Adobe Reader and Acrobat Vulnerability (неопр.). blogs.adobe.com. Дата обращения: 25 ноября 2010. Архивировано 13 августа 2012 года.

[fsecure-9] Chu, Kian; Hong, Choon (2009-09-30), Samoa Earthquake News Leads To Rogue AV, F-Secure, Дата обращения: 16 января 2010 Источник (неопр.). Дата обращения: 2 июля 2011. Архивировано 29 октября 2014 года.

[eweek-10] Hines, Matthew (2009-10-08), Malware Distributors Mastering News SEO, eWeek, Дата обращения: 16 января 2010 Источник (неопр.). Дата обращения: 2 июля 2011. Архивировано из оригинала 21 декабря 2009 года.

[sc-magazine-11] Raywood, Dan (2010-01-15), Rogue anti-virus prevalent on links that relate to Haiti earthquake, as donors encouraged to look carefully for genuine sites, SC Magazine, Дата обращения: 16 января 2010 Источник (неопр.). Дата обращения: 2 июля 2011. Архивировано 29 октября 2014 года.

[symantec-4-12] Doshi, Nishant (2009-01-27), Misleading Applications – Show Me The Money! (Part 3), Symantec, Дата обращения: 2 мая 2009 (недоступная ссылка)

[secureworks-13] Stewart, Joe (2008-10-22), Rogue Antivirus Dissected - Part 2, SecureWorks Источник (неопр.). Дата обращения: 2 июля 2011. Архивировано 2 марта 2009 года.

[14] Moheeb Abu Rajab and Luca Ballard. The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution (англ.) : journal. — Google, 2010. — 13 April. Архивировано 20 февраля 2019 года.

[15] Google забанил домены .CO.CC | http://info.nic.ru (неопр.). Дата обращения: 7 октября 2013. Архивировано 29 октября 2014 года.

[ftc-1-16] "Free Security Scan" Could Cost Time and Money, Federal Trade Commission, 2008-12-10, Дата обращения: 2 мая 2009 Источник (неопр.). Дата обращения: 2 июля 2011. Архивировано 15 ноября 2012 года.

[microsoft-3-17] SAP at a crossroads after losing $1.3B verdict (неопр.). Yahoo! News (24 ноября 2010). Дата обращения: 25 ноября 2010. Архивировано из оригинала 13 августа 2012 года.

[18] CanTalkTech — Fake Green AV disguises as security software with a cause (неопр.). Дата обращения: 2 июля 2011. Архивировано из оригинала 8 июля 2011 года.

[kav-19] ¹ ² ³ ⁴ ⁵ ⁶ ⁷ ⁸ ⁹ ¹⁰ ¹¹ Лаборатория Касперского о лжеантивирусах (неопр.). Дата обращения: 4 мая 2014. Архивировано 28 мая 2015 года.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

Вредоносное программное обеспечение
Инфекционное вредоносное ПО	Компьютерный вирус Сетевой червь Троянская программа Загрузочный вирус Пакетный вирус История
Методы сокрытия	Бэкдор Дроппер Закладка Криптор Компьютер-зомби Полиморфизм Руткит
Вредоносные программы для прибыли	Adware Privacy-invasive software Ransomware (Trojan.Winlock) Spyware Бот Ботнет Веб-угрозы Кейлогер Формграббер Scareware (Лжеантивирус) Порнодиалер
По операционным системам	Вредоносное ПО для Linux Вирусы для Palm OS Макровирус Мобильный вирус
Защита	Defensive computing Антивирусная программа Межсетевой экран Система обнаружения вторжений Предотвращение утечек информации Хронология антивирусов
Контрмеры	Anti-Spyware Coalition Computer surveillance Honeypot Операция «Bot Roast»

Распространение программного обеспечения
Лицензии	Свободное Свободное и открытое Бесплатное Открытое Проприетарное В общественном достоянии
Модели дохода	Бесплатное Freemium Условно-бесплатное Adware Demoware Donationware Nagware Postcardware Коммерческое
Методы доставки	On-premises Предустановленное Бандл SaaS (Software on-demand) Software plus services
Обманные/незаконные	Вредоносная программа Черви Троян Spyware Лжеантивирус Vaporware
Прочее	Abandonware Активация продукта Shovelware Легализация ПО Произведение с недоступным правообладателем