Поддельные антивирусы

Вирус
Раз Downadup начал скачивать на зараженные компы поддельные антивирусы, то наверняка скоро многим придется с ними столкнуться.
Да и вообще этот тип “вирусов”, которые притворяются антивирусами, сейчас очень распространен, так что я решил написать про симптомы заражения, про опасности таких поддельных вирусов и про свой опыт лечения одного компьютера, зараженного таким поддельным антивирусом.


Около месяца назад мне позвонила одна знакомая, которая знает, что я работаю в компании, занимающейся разработкой антивируса. Она позвонила посоветоваться, так как на ее компьютере якобы появился антивирус, который ей нашел несколько десятков вирусов и теперь просит заплатить 50 долларов за их лечение. Она спрашивала, что делать - платить или нет?


Первое и самое главное, что все должны знать: настоящий антивирус никогда не попросит денег за лечение вирусов. Если уж он их нашел - вылечит. Если же закончилась лицензия - он просто либо перестанет искать вирусы, либо перестанет скачивать новые апдейты, то есть, перестанет защищать от НОВЫХ вирусов, но по прежнему будет находить и лечить старые.
Так что, если “антивирус” просит деньги, чтобы вылечить вирус - это поддельный антивирус. Всё просто. Других вариантов быть не может.



Эти поддельные антивирусы выглядят очень похоже на настоящие антивирусы и их сообщения очень назойливы и пугающи. Раз в 5-10 минут они всплывают, сообщают вам о том, что вы заражены и нужно срочно вылечиться, а для этого заплатить.
Естественно, этих вирусов, которыми поддельный антивирус пугает, на компьютере нет. Они просто выбирают случайные незараженные файлы на компьютере и говорят, что они заражены вирусом, а имя подбирают случайно из списка “страшных” имен.
Выглядеть это может примерно так (картинки с блога Касперского):
Поддельный антивирус



Или так:
Поддельный антивирус


Или даже, как сообщение в браузере с сайта Microsoft.com:
Поддельное сообщение



В итоге люди пугаются и платят. Кстати, чем плохо заплатить? Тем, что вы теряете 50 баксов, ничего не исправляете и, внимание, данные вашей кредитки остаются у пиратов. Что они с ними сделают дальше и сколько вы потеряете - это уже отдельная история.
Я, естественно, посоветовал знакомой не паниковать, ничего не платить, рассказал ей, чем она заражена и попросил принести мне зараженный ноутбук.
Мне было интересно разобраться, как работает эта подделка и как от нее избавиться.
В итоге всё оказалось предельно просто.
Этот вирус запускал всего один процесс, который создавал окно, пугающее пользователя. Process Explorer умеет показывать, кто создал окно, так что этот процесс был мгновенно вычислен и уничтожен.
В систему вирус интегрировался настолько слабо, что удалось удалить его из автозапуска всего лишь удалив в реестре несколько папок и удалив папку с вирусом с диска. Больше никаких сообщений от этого вируса не вылезало.


Но дальше началось самое интересное. Установил ей антивирус (нашу бета-версию) и запустил скан. Скан обнаружил еще 5 разных вирусов, причем парочка из них была активирована и запущена - троян и keylogger. С трояном всё понятно.
А чем плох кейлоггер? Если вы нашли кейлоггер у себя, то считайте, что тот, кто вас заразил, знает все ваши пароли, инфу о кредитной карте и т.п. - все, что вы вбивали в инете когда-либо.
Это было самое опасное и неожиданное, так как за день до этого эта знакомая покупала книги на amazon-е и платила кредиткой. Уже на следующий день она пошла в банк, там все рассказала и ей сразу уничтожили кредитную карту (т.к. она считалась уже скомпрометированной) и сделали новую.


В общем, в итоге все обошлось хорошо, но мораль проста:
1. Имейте антивирус, которому вы можете доверять. Я лично не доверяю бесплатным антивирусам, один из которых стоял на том ноутбуке. Если жалко денег, то можно участвовать в какой-нибудь бета-программе, которые есть у многих платных хороших антивирусов. И не забывайте, что антивирус без апдейтов - это не антивирус.
2. Если вдруг заразились - не паникуйте. Вбейте имя вируса в гугл, найдите там, как его удалить и удалите. Ни в коем случае ничего никому не платите. Эти поддельные антивирусы в большинстве своем очень просты и очень легко удаляются.
3. После его удаления вируса просканируйте диск антивирусом, т.к. этот поддельный антивирус часто устанавливает еще и троян, чтобы скачивать свои новые версии. И если троян не удалить, то этот вирус вернется.




Понравилась статья? Подпишись на RSS!




Похожие статьи:


“Вторжение” началось
Вопросы и ответы: Conficker и 1 апреля
Модификация червя Downadup - W32.Downadup.C.
Новый червь Downadup
Ждем новой эпидемии?
Очень опасная критическая уязвимость в Adobe Flash Player
Африканские письма, страсти и $5.7млн
Сделай свой интернет безопасным

9 комментариев к Поддельные антивирусы

  • Пробовал я этот антивирус. Впечатления отвратительные. Хорошая затея и идея - но реализация просто труба.
    - весит сотню метров. для антивируса это слишком
    - тормоза. на моем аусу а7у работа сделалась совершенно некомфортной
    - ярлык деинсталлятора отсутствует в меню “программы” - крайне негативные впечатления.
    Кстати, то же ikido данный антивирус так и не обнаружил.
    Если интересен более развернутый комментарий: http://erazer.org.ua/2009/04/12/f-secure-i-poddelnyie-antivirusyi/
    Присутствует нецензурная лексика.

    • Прочитал развернутый отзыв. Хоть отзыв и негативный, но все равно спасибо :) Про 100МБ - следующая бета уже будет около 70. А финальный релиз может и меньше 50 получится сделать.

      А вот про Kido можно подробнее? Апдейты скачались? Ибо должен лечить с последними апдейтами.

  • deeonis

    >Кстати, чем плохо заплатить? Тем, что вы теряете 50 баксов, ничего не исправляете и, внимание, данные вашей кредитки остаются у пиратов.

    Ну я не думаю что создатели фейковых антивирусов имеют свою собственные биллинги. Обычно платежи процессят “порядочные” биллинги.

    > После его удаления вируса просканируйте диск антивирусом, т.к. этот поддельный антивирус часто устанавливает еще и троян, чтобы скачивать свои новые версии. И если троян не удалить, то этот вирус вернется.

    Тут тоже надо сказать, что фейковы

    • deeonis

      ой, чтот не то нажал :) договариваю мысль…
      Тут тоже надо сказать, что фейковый антивирь никаких левых кейлогеров и троянов не ставит. Только для своих нужд. Иначе бы их сразу за жопу бы взяли, ибо отследить кому идут деньги вполне реально. Как вы думаете - почему все это еще существует.

      • Не, если бы было возможно отследить - уже бы отследили. А трояну можно дать задачу скачать что угодно, не только новую версию фейкового антивируса.

        • deeonis

          >Не, если бы было возможно отследить - уже бы отследили.
          http://webplanet.ru/news/security/2008/12/15/scareware_barred.html. Т.е. если есть суд, значит и есть кого судить. Просто все тут балансирует на грани законности.

          >А трояну можно дать задачу скачать что угодно, не только новую версию фейкового антивируса.
          Это да, только троян не принадлежит создателям лже-антивируса. Фейковый антивирус в системе - это следствие действий вируса(трояна), а не наоборот.

  • апдейты скачались. все поставилось. кидо сидел уже пару недель как - на двух съемных дисках и одном стационарном. проявления - типичные по сайту касперского. так вот, ваша софтина абсолютно никак не прореагировала на него. утилита с сайта касперского (правда, только после ее переименования) успешно кидо обнаружила и “замочила”. если это имеет значение, могу прислать файл с этим самым кидо для опытов.
    по поводу размера - ну что ж, было бы здорово, если бы ваша софтина так хорошо похудела. возможно, и на “быстроногости” ее это сказалось положительным образом. ибо, хоть мы и живем в мир дотнета, но такие объемы для такого класса ПО - это все же сильный перебор. imho

    • Наша софтина не прореагировала скорее всего потому, что кидо блочил наш сайт и вы не получили апдейтов. А лечилка для кидо как раз из канала приходит.
      Поэтому надо сначала кидо удалять тулзой, а потом только антивирусы ставить.

  • upcFrost

    Да, помню рекламу такой радости. Особенно улыбнуло когда на моей Mandriva 2008.1 (год назад было) высветилось окно эксплорера венды-ХР, начало сканить диск С (коего в линуксе ясен пень нету) и сказало что там аж полторы сотни вирей. Я ржал минут 5

Ответить

 

 

 

Вы можете использовать эти HTML тэги

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>