Лжеантивирус (L'ygumnfnjrv)
Лже́антиви́рус (псе́вдоантиви́рус, FakeAV) — компьютерная программа, которая имитирует удаление вредоносного программного обеспечения или сначала заражает, потом удаляет[1]. К концу 2000-х годов значимость лжеантивирусов как угрозы персональным компьютерам повысилась[2], понизившись в июне 2011 года[3]. В первую очередь появление лжеантивирусов связано с тем, что в США частично взяли под контроль индустрию spyware и adware[4], а UAC и антивирусы оставляют всё меньше шансов ПО, проникающему без ведома пользователя. Во-вторых, полноценных антивирусных программ стало настолько много, что сложно запомнить их все. Так, VirusTotal на 17 января 2021 года располагает 70 антивирусами[5].
Описание и метод действия
[править | править код]Лжеантивирусы относятся к категории троянских программ[6], то есть пользователь сам проводит их через системы безопасности ОС и антивирусов. В отличие от «нигерийских писем» (которые играют на алчности и сострадании), фишинга и ложных лотерейных выигрышей, лжеантивирусы играют на страхе заражения системы[7]. Встречаясь чаще всего под видом всплывающих окон веб-браузера, они якобы сканируют операционную систему пользователя и тут же выявляют в ней вирусы и другие вредоносные программы[2]. Для наибольшей достоверности этот процесс также может сопровождаться внедрением одной или нескольких программ такого типа в систему путём обхода конфигурации[6], особенно если компьютер обладает минимальной и легкообходимой защитой. В итоге компьютер-жертва начинает выдавать сообщения о невозможности продолжения работы ввиду заражения, а лжеантивирус — упорно предлагать купить услугу или же разблокировать её, введя данные кредитной карты[8].
Самые первые лжеантивирусы возникли с развитием интернета и представляли собой лишь окна, имитирующие ОС (чаще всего — проводник Windows и рабочий стол интерфейса Windows XP) с присущими звуками при загрузке и нажатии кнопок. Такие окна легко убирались блокировщиками рекламы, например, Adblock Plus. Во второй половине 2000-х годов лжеантивирусы превратились в полноценные программы и стали выдавать себя за настоящие антивирусы при помощи использования агрессивной рекламы, ложных пользовательских отзывов или даже «отравления» поисковых результатов при вводе ключевых слов (в том числе по темам, не связанным с компьютерной безопасностью)[9][10][11]. Такие программы задумывались с названиями, похожими на названия настоящих антивирусов (например, Security Essentials 2010 вместо «Microsoft Security Essentials» или AntiVirus XP 2008 вместо «Norton AntiVirus») и работали по принципу прямого отправления денег распространителям — партнёрским сетям за каждую удачную инсталляцию[12].
Статистика
[править | править код]В конце 2008 года обнаружено, что партнёрская сеть, распространявшая Antivirus XP 2008, получила за свою работу около 150 тыс. $[13]. В 2010 году Google пришёл к заключению, что половина вредоносного ПО, проникающего через рекламу, — лжеантивирусы[14]. В 2011 тот же Google исключил из поиска домен co.cc
, дешёвый хостинг[15], на которых размещались в том числе и распространители псевдоантивирусов.
Выгода для распространителя
[править | править код]Распространитель может получать прибыль от лжеантивируса разными путями.
- Обычное для вредоносной программы поведение: кража аккаунтов, блокировка ОС, эксплуатация вычислительной мощи компьютера и т. п.
- Программа может в «демонстрационном режиме» имитировать обнаружение вирусов и выдавать предупреждения о том, что ОС не защищена, а для исправления попросить зарегистрировать[16][17]. Чтобы была видимость заражения, лжеантивирус может устанавливать настоящие вирусы, а затем находить их, искусственно дестабилизировать ОС, изменяя критические настройки, и даже имитировать «синие экраны»[2].
- Лжеантивирус может просить деньги на псевдоблаготворительность[18].
- Антивирусная программа может быть самая настоящая (обычно основанная на ClamAV), однако её цена, как правило, выше, чем цены на аналоги. Продают лицензию обычно поквартально — чтобы сравнить цены, приходится вчитываться в условия и подключать арифметику.
Простейшие признаки лжеантивируса
[править | править код]Сайт-распространитель
[править | править код]- Лечение или демонстрация через веб[19]. Веб-браузеры устроены так, чтобы сайт вообще не имел доступа к лежащим на компьютере файлам. Потому лечение через веб невозможно, а службы антивирусной проверки наподобие VirusTotal не сканируют дисков, а требуют явной отправки подозрительного файла на проверку. А эффективность антивируса никак не коррелирует с красотой интерфейса.
- Большое количество несуществующих наград[19].
- Настоящий антивирус не может гарантировать «стопроцентное излечение». Вирус должен попасться «в диком виде», кто-то из интернет-активистов отсылает его антивирусным специалистам, те исследуют его — и только после этого вирус попадает в базу. На это нужно время.
- «Крючки» в лицензионном соглашении: либо это «развлекательная программа», либо оплата идёт за «техподдержку ClamAV»[19].
- Оплата через SMS. Легальные антивирусы предпочитают платёжные системы и банковские карты[19].
Программа
[править | править код]- Маленький размер инсталлятора или нет фазы инсталляции[19]. У любого антивируса есть большая вирусная база: Dr. Web CureIt занимает более 200 мегабайт, аналогичная версия антивируса Касперского — около 150. У некоторых антивирусов (например, Avast) бывает миниатюрный интернет-инсталлятор, но тогда все эти мегабайты будут скачаны из интернета во время установки.
- Опознаётся другими антивирусами[19].
- Срабатывает на «чистой» ОС, установленной с нуля[19], обнаруживает не характерные для данной ОС вирусы (вирус, распространяющийся в Windows, выявляется для Linux). Но: пиратские версии ОС наверняка содержат взломщик, и нередко — зловреды в придачу.
- Окно UAC жёлтое (неподписанная программа), или синее, но владелец неверный (утёкший ключ). Написание антивируса — дело сложное и дорогое, и разработчики антивируса могут позволить себе сертификат для программ — в отличие от мелкого ПО, чьи разработчики ищут, как дёшево сделать окно UAC синим.
- Если вы единственный администратор компьютера — программа, которую вы не устанавливали. Впрочем, утилиты поменьше, связанные с производительностью и безопасностью — например, утилиты для чистки реестра — иногда распространяются «в придачу».
- Уже простейшая функциональность платная, без всяких испытательных периодов и бесплатных версий[19]. Деньги просят за дополнительные функции: брандмауэр, резидентный монитор, оперативное обновление и т. д. И уж никакой антивирус не требует денег за устранение угрозы.
- Навязчивые сообщения о том, что компьютер уязвим или нужно купить программу — а чаще всего то и другое одновременно[19].
- Могут отсутствовать простейшие функции, присущие любой уважающей себя резидентной программе: временно остановить антивирус, деинсталлировать программу стандартными средствами ОС[19]. Может не быть и других настроек, присущих настоящему антивирусу (прокси-серверы, списки исключений)[19].
Примечания
[править | править код]- ↑ Symantec Report on Rogue Security Software . Symantec (28 октября 2009). Дата обращения: 15 апреля 2010. Архивировано 13 августа 2012 года.
- ↑ 1 2 3 Microsoft Security Intelligence Report volume 6 (July - December 2008) 92. Microsoft (8 апреля 2009). Дата обращения: 2 мая 2009. Архивировано 13 августа 2012 года.
- ↑ Бизнес FakeAV жив и здоров | Securelist . Дата обращения: 31 июля 2020. Архивировано 21 октября 2020 года.
- ↑ Leyden, John Zango goes titsup: End of desktop adware market . The Register (11 апреля 2009). Дата обращения: 5 мая 2009. Архивировано 13 августа 2012 года.
- ↑ Результат сканирования opensource-хука клавиатуры, который был замечен в кейлогере.
- ↑ 1 2 Doshi, Nishant (2009-01-19), Misleading Applications – Show Me The Money!, Symantec, Дата обращения: 2 мая 2009 (недоступная ссылка)
- ↑ The Perfect Scam — Technology Review . Дата обращения: 7 июля 2011. Архивировано 29 января 2012 года.
- ↑ News Adobe Reader and Acrobat Vulnerability . blogs.adobe.com. Дата обращения: 25 ноября 2010. Архивировано 13 августа 2012 года.
- ↑ Chu, Kian; Hong, Choon (2009-09-30), Samoa Earthquake News Leads To Rogue AV, F-Secure, Архивировано 29 октября 2014, Дата обращения: 16 января 2010 Источник . Дата обращения: 2 июля 2011. Архивировано 29 октября 2014 года.
- ↑ Hines, Matthew (2009-10-08), Malware Distributors Mastering News SEO, eWeek, Архивировано из оригинала 21 декабря 2009, Дата обращения: 16 января 2010 Источник . Дата обращения: 2 июля 2011. Архивировано из оригинала 21 декабря 2009 года.
- ↑ Raywood, Dan (2010-01-15), Rogue anti-virus prevalent on links that relate to Haiti earthquake, as donors encouraged to look carefully for genuine sites, SC Magazine, Архивировано 29 октября 2014, Дата обращения: 16 января 2010 Источник . Дата обращения: 2 июля 2011. Архивировано 29 октября 2014 года.
- ↑ Doshi, Nishant (2009-01-27), Misleading Applications – Show Me The Money! (Part 3), Symantec, Дата обращения: 2 мая 2009 (недоступная ссылка)
- ↑ Stewart, Joe (2008-10-22), Rogue Antivirus Dissected - Part 2, SecureWorks, Архивировано из оригинала 2 марта 2009, Дата обращения: 2 июля 2011 Источник . Дата обращения: 2 июля 2011. Архивировано 2 марта 2009 года.
- ↑ Moheeb Abu Rajab and Luca Ballard. The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution (англ.) : journal. — Google, 2010. — 13 April. Архивировано 20 февраля 2019 года.
- ↑ Google забанил домены .CO.CC | http://info.nic.ru . Дата обращения: 7 октября 2013. Архивировано 29 октября 2014 года.
- ↑ "Free Security Scan" Could Cost Time and Money, Federal Trade Commission, 2008-12-10, Архивировано 15 ноября 2012, Дата обращения: 2 мая 2009 Источник . Дата обращения: 2 июля 2011. Архивировано 15 ноября 2012 года.
- ↑ SAP at a crossroads after losing $1.3B verdict . Yahoo! News (24 ноября 2010). Дата обращения: 25 ноября 2010. Архивировано из оригинала 13 августа 2012 года.
- ↑ CanTalkTech — Fake Green AV disguises as security software with a cause . Дата обращения: 2 июля 2011. Архивировано из оригинала 8 июля 2011 года.
- ↑ 1 2 3 4 5 6 7 8 9 10 11 Лаборатория Касперского о лжеантивирусах . Дата обращения: 4 мая 2014. Архивировано 28 мая 2015 года.
Ссылки
[править | править код]- Howes, Eric L (2007-05-04), Spyware Warrior: Rogue/Suspect Anti-Spyware Products & Web Sites, Дата обращения: 2 мая 2009
- (en) List_of_rogue_security_software
- Kaspersky Lab: Rogue security software, Дата обращения: 24 апреля 2012