Interested Article - Лжеантивирус

Лжеантиви́рус (или псевдоантивирус ) — компьютерная программа , которая имитирует удаление вредоносного программного обеспечения или сначала заражает, потом удаляет . К концу 2000-х годов значимость лжеантивирусов как угрозы персональным компьютерам повысилась , понизившись в июне 2011 года . В первую очередь появление лжеантивирусов связано с тем, что в США частично взяли под контроль индустрию spyware и adware , а UAC и антивирусы оставляют всё меньше шансов ПО, проникающему без ведома пользователя. Во-вторых, полноценных антивирусных программ стало настолько много, что сложно запомнить их все. Так, VirusTotal на 17 января 2021 года располагает 70 антивирусами .

Описание и метод действия

Лжеантивирусы относятся к категории троянских программ , то есть пользователь сам проводит их через системы безопасности ОС и антивирусов. В отличие от « нигерийских писем » (которые играют на алчности и сострадании ), фишинга и ложных лотерейных выигрышей, лжеантивирусы играют на страхе заражения системы . Встречаясь чаще всего под видом всплывающих окон веб-браузера , они якобы сканируют операционную систему пользователя и тут же выявляют в ней вирусы и другие вредоносные программы . Для наибольшей достоверности этот процесс также может сопровождаться внедрением одной или нескольких программ такого типа в систему путём обхода конфигурации , особенно если компьютер обладает минимальной и легкообходимой защитой. В итоге компьютер-жертва начинает выдавать сообщения о невозможности продолжения работы ввиду заражения, а лжеантивирус — упорно предлагать купить услугу или же разблокировать её, введя данные кредитной карты .

Самые первые лжеантивирусы возникли с развитием интернета и представляли собой лишь окна, имитирующие ОС (чаще всего — проводник Windows и рабочий стол интерфейса Windows XP ) с присущими звуками при загрузке и нажатии кнопок. Такие окна легко убирались блокировщиками рекламы, например, Adblock Plus . Во второй половине 2000-х годов лжеантивирусы превратились в полноценные программы и стали выдавать себя за настоящие антивирусы при помощи использования агрессивной рекламы , ложных пользовательских отзывов или даже «отравления» поисковых результатов при вводе ключевых слов (в том числе по темам, не связанным с компьютерной безопасностью) . Такие программы задумывались с названиями, похожими на названия настоящих антивирусов (например, Security Essentials 2010 вместо « Microsoft Security Essentials » или AntiVirus XP 2008 вместо « Norton AntiVirus ») и работали по принципу прямого отправления денег распространителям — партнёрским сетям за каждую удачную инсталляцию .

Статистика

В конце 2008 года обнаружено, что партнёрская сеть, распространявшая Antivirus XP 2008 , получила за свою работу около 150 тыс. $ . В 2010 году Google пришёл к заключению, что половина вредоносного ПО, проникающего через рекламу, — лжеантивирусы . В 2011 тот же Google исключил из поиска домен co.cc , дешёвый хостинг , на которых размещались в том числе и распространители псевдоантивирусов.

Выгода для распространителя

Распространитель может получать прибыль от лжеантивируса разными путями.

Обычное для вредоносной программы поведение: кража аккаунтов , блокировка ОС , эксплуатация вычислительной мощи компьютера и т. п.
Программа может в « демонстрационном режиме » имитировать обнаружение вирусов и выдавать предупреждения о том, что ОС не защищена, а для исправления попросить зарегистрировать . Чтобы была видимость заражения, лжеантивирус может устанавливать настоящие вирусы, а затем находить их, искусственно дестабилизировать ОС, изменяя критические настройки, и даже имитировать «синие экраны» .
Лжеантивирус может просить деньги на псевдоблаготворительность .
Антивирусная программа может быть самая настоящая (обычно основанная на ClamAV ), однако её цена, как правило, выше, чем цены на аналоги. Продают лицензию обычно поквартально — чтобы сравнить цены, приходится вчитываться в условия и подключать арифметику.

Простейшие признаки лжеантивируса

Сайт-распространитель

Лечение или демонстрация через веб . Веб-браузеры устроены так, чтобы сайт вообще не имел доступа к лежащим на компьютере файлам. Потому лечение через веб невозможно, а службы антивирусной проверки наподобие VirusTotal не сканируют дисков, а требуют явной отправки подозрительного файла на проверку. А эффективность антивируса никак не коррелирует с красотой интерфейса.
Большое количество несуществующих наград .
Настоящий антивирус не может гарантировать «стопроцентное излечение». Вирус должен попасться «в диком виде», кто-то из интернет-активистов отсылает его антивирусным специалистам, те исследуют его — и только после этого вирус попадает в базу. На это нужно время.
«Крючки» в лицензионном соглашении: либо это «развлекательная программа», либо оплата идёт за «техподдержку ClamAV » .
Оплата через SMS . Легальные антивирусы предпочитают платёжные системы и банковские карты .

Программа

Маленький размер инсталлятора или нет фазы инсталляции . У любого антивируса есть большая вирусная база: Dr. Web CureIt занимает более 200 мегабайт, аналогичная версия антивируса Касперского — около 150. У некоторых антивирусов (например, Avast ) бывает миниатюрный интернет-инсталлятор, но тогда все эти мегабайты будут скачаны из интернета во время установки.
Опознаётся другими антивирусами .
Срабатывает на «чистой» ОС, установленной с нуля , обнаруживает не характерные для данной ОС вирусы (вирус, распространяющийся в Windows, выявляется для Linux ). Но: пиратские версии ОС наверняка содержат взломщик, и нередко — зловреды в придачу.
Окно UAC жёлтое (неподписанная программа), или синее, но владелец неверный (утёкший ключ). Написание антивируса — дело сложное и дорогое, и разработчики антивируса могут позволить себе сертификат для программ — в отличие от мелкого ПО, чьи разработчики ищут, как дёшево сделать окно UAC синим.
Если вы единственный администратор компьютера — программа, которую вы не устанавливали. Впрочем, утилиты поменьше, связанные с производительностью и безопасностью — например, утилиты для чистки реестра — иногда распространяются «в придачу».
Уже простейшая функциональность платная, без всяких испытательных периодов и бесплатных версий . Деньги просят за дополнительные функции: брандмауэр, резидентный монитор, оперативное обновление и т. д. И уж никакой антивирус не требует денег за устранение угрозы.
Навязчивые сообщения о том, что компьютер уязвим или нужно купить программу — а чаще всего то и другое одновременно .
Могут отсутствовать простейшие функции, присущие любой уважающей себя резидентной программе: временно остановить антивирус, деинсталлировать программу стандартными средствами ОС . Может не быть и других настроек, присущих настоящему антивирусу ( прокси-серверы , списки исключений) .

Примечания

(неопр.) . Symantec (28 октября 2009). Дата обращения: 15 апреля 2010. 13 августа 2012 года.
↑ (неопр.) 92. Microsoft (8 апреля 2009). Дата обращения: 2 мая 2009. 13 августа 2012 года.
(неопр.) . Дата обращения: 31 июля 2020. 21 октября 2020 года.
Leyden, John (неопр.) . The Register (11 апреля 2009). Дата обращения: 5 мая 2009. 13 августа 2012 года.
opensource - хука клавиатуры, который был замечен в кейлогере .
↑ Doshi, Nishant (2009-01-19), , Symantec , Дата обращения: 2 мая 2009 (недоступная ссылка)
(неопр.) . Дата обращения: 7 июля 2011. 29 января 2012 года.
(неопр.) . blogs.adobe.com. Дата обращения: 25 ноября 2010. 13 августа 2012 года.
Chu, Kian; Hong, Choon (2009-09-30), , F-Secure , Дата обращения: 16 января 2010 (неопр.) . Дата обращения: 2 июля 2011. Архивировано 29 октября 2014 года.
Hines, Matthew (2009-10-08), , eWeek , Дата обращения: 16 января 2010 (неопр.) . Дата обращения: 2 июля 2011. Архивировано из 21 декабря 2009 года.
Raywood, Dan (2010-01-15), , SC Magazine , Дата обращения: 16 января 2010 (неопр.) . Дата обращения: 2 июля 2011. Архивировано 29 октября 2014 года.
Doshi, Nishant (2009-01-27), , Symantec , Дата обращения: 2 мая 2009 (недоступная ссылка)
Stewart, Joe (2008-10-22), , SecureWorks (неопр.) . Дата обращения: 2 июля 2011. Архивировано 2 марта 2009 года.
Moheeb Abu Rajab and Luca Ballard. (англ.) : journal. — Google , 2010. — 13 April. 20 февраля 2019 года.
(неопр.) . Дата обращения: 7 октября 2013. 29 октября 2014 года.
, Federal Trade Commission , 2008-12-10 , Дата обращения: 2 мая 2009 (неопр.) . Дата обращения: 2 июля 2011. Архивировано 15 ноября 2012 года.
(неопр.) . Yahoo! News (24 ноября 2010). Дата обращения: 25 ноября 2010. Архивировано из 13 августа 2012 года.
(неопр.) . Дата обращения: 2 июля 2011. Архивировано из 8 июля 2011 года.
↑ (неопр.) . Дата обращения: 4 мая 2014. 28 мая 2015 года.

Ссылки

Howes, Eric L (2007-05-04), , Дата обращения: 2 мая 2009
, Дата обращения: 24 апреля 2012

[1] (неопр.) . Symantec (28 октября 2009). Дата обращения: 15 апреля 2010. 13 августа 2012 года.

[microsoft-1-2] (неопр.) 92. Microsoft (8 апреля 2009). Дата обращения: 2 мая 2009. 13 августа 2012 года.

[3] (неопр.) . Дата обращения: 31 июля 2020. 21 октября 2020 года.

[4] Leyden, John (неопр.) . The Register (11 апреля 2009). Дата обращения: 5 мая 2009. 13 августа 2012 года.

[5] source - хука клавиатуры, который был замечен в кейлогере .

[symantec-2-6] Doshi, Nishant (2009-01-19), , Symantec , Дата обращения: 2 мая 2009 (недоступная ссылка)

[7] (неопр.) . Дата обращения: 7 июля 2011. 29 января 2012 года.

[blog_adobe-8] (неопр.) . blogs.adobe.com. Дата обращения: 25 ноября 2010. 13 августа 2012 года.

[fsecure-9] Chu, Kian; Hong, Choon (2009-09-30), , F-Secure , Дата обращения: 16 января 2010 (неопр.) . Дата обращения: 2 июля 2011. Архивировано 29 октября 2014 года.

[eweek-10] Hines, Matthew (2009-10-08), , eWeek , Дата обращения: 16 января 2010 (неопр.) . Дата обращения: 2 июля 2011. Архивировано из 21 декабря 2009 года.

[sc-magazine-11] Raywood, Dan (2010-01-15), , SC Magazine , Дата обращения: 16 января 2010 (неопр.) . Дата обращения: 2 июля 2011. Архивировано 29 октября 2014 года.

[symantec-4-12] Doshi, Nishant (2009-01-27), , Symantec , Дата обращения: 2 мая 2009 (недоступная ссылка)

[secureworks-13] Stewart, Joe (2008-10-22), , SecureWorks (неопр.) . Дата обращения: 2 июля 2011. Архивировано 2 марта 2009 года.

[14] Moheeb Abu Rajab and Luca Ballard. (англ.) : journal. — Google , 2010. — 13 April. 20 февраля 2019 года.

[15] (неопр.) . Дата обращения: 7 октября 2013. 29 октября 2014 года.

[ftc-1-16] , Federal Trade Commission , 2008-12-10 , Дата обращения: 2 мая 2009 (неопр.) . Дата обращения: 2 июля 2011. Архивировано 15 ноября 2012 года.

[microsoft-3-17] (неопр.) . Yahoo! News (24 ноября 2010). Дата обращения: 25 ноября 2010. Архивировано из 13 августа 2012 года.

[18] (неопр.) . Дата обращения: 2 июля 2011. Архивировано из 8 июля 2011 года.

[kav-19] (неопр.) . Дата обращения: 4 мая 2014. 28 мая 2015 года.

Вредоносное программное обеспечение
Инфекционное вредоносное ПО	Компьютерный вирус Сетевой червь Троянская программа Загрузочный вирус Пакетный вирус История
Методы сокрытия	Бэкдор Дроппер Закладка Криптор Компьютер-зомби Полиморфизм Руткит
Вредоносные программы для прибыли	Adware Ransomware ( Trojan.Winlock ) Spyware Бот Ботнет Кейлогер Формграббер ( ) Порнодиалер
По операционным системам	Вредоносное ПО для Linux Макровирус Мобильный вирус
Защита	Defensive computing Антивирусная программа Межсетевой экран Система обнаружения вторжений Предотвращение утечек информации
Контрмеры	Honeypot Операция «Bot Roast»

Распространение программного обеспечения
Лицензии	Свободное Свободное и открытое Бесплатное Открытое Проприетарное В общественном достоянии
Модели дохода	Бесплатное Freemium Условно-бесплатное Adware Demoware Donationware Nagware Postcardware Коммерческое
Методы доставки	Предустановленное Бандл SaaS (Software on-demand)
Обманные/незаконные	Вредоносная программа Черви Троян Spyware Vaporware
Прочее	Abandonware Легализация ПО Произведение с недоступным правообладателем