Фальшивий антивірус — Вікіпедія
Фальшивий антивірус — комп'ютерна програма, яка імітує видалення шкідливих програм, або, видаляє одну шкідливу програму, натомість завантажуючи іншу.[1] У останні роки (2008—2014) роль фальшивих антивірусів як загрози персональним комп'ютерам зросла.[2] У першу чергу, це пов'язано з тим, що в США частково взяли під контроль індустрію шпигунських програмних продуктів та рекламного програмного забезпечення[3], а служба захисту користувачів та антивіруси залишають все менше шансів ПЗ, що проникає без відома користувача. Та й повноцінних антивірусних програм стало настільки багато, що складно запам'ятати їх усі. Так, VirusTotal на кінець 2011 року в своєму розпорядженні мав 43 антивіруси.[4]
На відміну від «нігерійських листів», які грають на жадібності та співчутті, фальшиві антивіруси грають на страху,[5] і користувач сам проводить програму крізь систему безпеки, вбудовану в браузер та ОС.[2] Сайт, наприклад, може повідомити, що комп'ютер заражений, і спровокувати користувача купити або встановити програму. Рідше трапляються фальшиві антивіруси, які поширюються маскуванням під звичайний документ[6] або через експлойт[6][7]. Існують браузерні «антивіруси», що імітують вікна ОС (наприклад, «Мій комп'ютер»), вікна та звуки справжніх антивірусів. Позбутися від них допоможуть звичайні засоби блокування реклами на зразок Adblock Plus.
Щоб якомога більша кількість людей завантажила програму, розробники використовують агресивну рекламу та навіть можуть «отруїти» пошукові результати[8], в тому числі темами, не пов'язаними з комп'ютерною безпекою (поточними новинами тощо).[9][10] Назви роблять схожими на справжні антивіруси: наприклад, Security Essentials 2010 явно імітував Microsoft Security Essentials. 2010 року Google прийшов до висновку, що половина шкідливого ПЗ, яке потрапляє через рекламу, — фальшиві антивіруси.[11] У 2011 той же Google виключив з пошуку домен co.cc
, дешевий хостинг,[12] який полюбляли в тому числі і розповсюджувачі фальшивих антивірусів.
Фальшиві антивіруси часто поширюються через партнерські мережі, які за кожну вдалу інсталяцію отримують гроші. Іноді відповідальними за механізми розповсюдження виявляються саме «партнерки».[13] Виявили, що партнерська мережа, яка розповсюджувала Antivirus XP 2008, отримала за свою роботу близько 150 тис. $.[14]
Фахівці з BitDefender 2011 року виявили неординарного трояна. Хоч він і не є фальшивим антивірусом в звичайному розумінні, він розпізнає 16 справжніх антивірусів, деінсталює їх і замінює імітацією.[15]
Розповсюджувач може отримувати прибуток від фальшивого антивірусу різними шляхами.
- Звичайна для шкідливої програми поведінка: крадіжка облікових записів, блокування ОС, експлуатація обчислювальної потужності комп'ютера тощо
- Програма може в «демонстраційному режимі» імітувати виявлення вірусів та видавати попередження про те, що ОС не захищена, а для виправлення просити зареєструватися.[16][17] Щоб була видимість зараження, фальшивий антивірус може завантажувати справжні віруси, а потім знаходити їх, штучно дестабілізовувати ОС, змінюючи критичні налаштування, і навіть імітувати «сині екрани».[2]
- Фальшивий антивірус може просити гроші на псевдо благодійність.[18]
- Антивірусна програма може бути справжнісінька (зазвичай заснована на ClamAV), проте її ціна, зазвичай, вища, ніж ціни на аналоги. Продають ліцензію зазвичай поквартально — щоб порівняти ціни, доводиться вчитуватися в умови та застосовувати арифметику.
- Лікування або демонстрація через веб.[19][20] Лікування через веб неможливе: веббраузери влаштовані так, що сайт взагалі не має доступу до файлів, які знаходяться на комп'ютері. А ефективність антивірусу ніяк не корелює з красою інтерфейсу.
- Багато несправжніх нагород.[20]
- Справжній антивірус не може гарантувати «стовідсоткове лікування». Вірус потрібно «впіймати в дикому вигляді», хтось із інтернет-активістів надсилає його антивірусним фахівцям — і лише після дослідження вірус потрапляє в базу. На це потрібен час.
- «Гачки» в ліцензійній угоді: або це «розважальна програма», або оплата йде за «техпідтримку ClamAV».[20]
- Оплата через SMS. Легальні антивіруси віддають перевагу платіжним системам та банківським карткам.[20]
- розпізнається іншими антивірусами.[20]
- Маленький розмір інсталятора чи фази інсталяції.[20] Dr. Web CureIt займає більше 100 мегабайт, аналогічна версія антивірусу Касперського — близько 150.
- Спрацьовує на «чистій» ОС, встановленій з самого початку.[20]
- Звичайний резидентний антивірус, під час сканування диску, ніколи не викликає спрацювання служби захисту користувачів. Якщо ж при особливих операціях (встановлення, оновлення виконуваних модулів) UAC все ж спрацював — його вікно не може бути жовтим (непідписана програма).
- Уже найпростіша функціональність платна, без всяких випробувальних періодів та безкоштовних версій.[20] Наприклад, у Лабораторії Касперського є безкоштовні варіанти антивірусу — Kaspersky AVP ToolтаKaspersky Rescue Disk. Гроші просять за додаткові функції: брандмауер, резидентний монітор, оперативне оновлення і т. д.
- Нав'язливі повідомлення про те, що комп'ютер вразливий або потрібно купити програму ,а найчастіше те й інше одночасно.[20]
- Можуть бути відсутні найпростіші функції, притаманні будь-якій резидентній програмі, що поважає себе: тимчасово зупинити антивірус, деінсталювати програму стандартними засобами ОС.[20] Може не бути й інших налаштувань, властивих справжньому антивірусу (проксі-сервери, перелік винятків).[20]
- ↑ Symantec Report on Rogue Security Software (PDF). Symantec. 28 жовтня 2009. Архів (PDF) оригіналу за 13 серпня 2012. Процитовано 15 квітня 2010.
- ↑ а б в Microsoft Security Intelligence Report volume 6 (July — December 2008). Microsoft. 8 квітня 2009. с. 92. Архів оригіналу за 13 серпня 2012. Процитовано 2 травня 2009.
- ↑ Leyden, John (11 квітня 2009). Zango goes titsup: End of desktop adware market. The Register[en]. Архів оригіналу за 13 серпня 2012. Процитовано 5 травня 2009.
- ↑ Результат сканування opensource-хука клавіатури, який був використаний в кейлоггері.
- ↑ The Perfect Scam — Technology Review. Архів оригіналу за 29 січня 2012. Процитовано 29 жовтня 2014.
- ↑ а б Doshi, Nishant (19 січня 2009), Misleading Applications – Show Me The Money!, Symantec, процитовано 2 травня 2009[недоступне посилання з травня 2019]
- ↑ News Adobe Reader and Acrobat Vulnerability. blogs.adobe.com. Архів оригіналу за 13 серпня 2012. Процитовано 25 листопада 2010.
- ↑ Chu, Kian; Hong, Choon (30 вересня 2009), Samoa Earthquake News Leads To Rogue AV, F-Secure, архів оригіналу за 29 жовтня 2014, процитовано 16 січня 2010
- ↑ Hines, Matthew (8 жовтня 2009), Malware Distributors Mastering News SEO, eWeek, архів оригіналу за 21 грудня 2009, процитовано 16 січня 2010
- ↑ Raywood, Dan (15 січня 2010), Rogue anti-virus prevalent on links that relate to Haiti earthquake, as donors encouraged to look carefully for genuine sites, SC Magazine, архів оригіналу за 29 жовтня 2014, процитовано 16 січня 2010
- ↑ Moheeb Abu Rajab and Luca Ballard. The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution. — Google, 2010. — 13 квітня. Архівовано з джерела 20 лютого 2019. Процитовано 2010-11-18.
- ↑ Google забанив домени.CO.CC|http://info.nic.ru. Архів оригіналу за 29 жовтня 2014. Процитовано 29 жовтня 2014.
- ↑ Doshi, Nishant (27 січня 2009), Misleading Applications – Show Me The Money! (Part 3), Symantec, процитовано 2 травня 2009[недоступне посилання з травня 2019]
- ↑ Stewart, Joe (22 жовтня 2008), Rogue Antivirus Dissected — Part 2, SecureWorks, архів оригіналу за 2 березня 2009, процитовано 29 жовтня 2014
- ↑ Фальшивий антівірус-хамелеон — Securelist. Архів оригіналу за 3 жовтня 2011. Процитовано 3 жовтня 2011.
- ↑ "Free Security Scan" Could Cost Time and Money, Федеральна торгова комісія, 10 грудня 2008, архів оригіналу за 15 листопада 2012, процитовано 2 травня 2009
- ↑ SAP at a crossroads after losing $1.3B verdict. Yahoo! News. 24 листопада 2010. Архів оригіналу за 13 серпня 2012. Процитовано 25 листопада 2010.
- ↑ CanTalkTech — Fake Green AV disguises as security software with a cause. Архів оригіналу за 8 липня 2011. Процитовано 29 жовтня 2014.
- ↑ Хоч сервіси онлайн-сканування існують (наприклад, VirusTotal), вони не пропонують сканування дисків локального комп'ютера, а вимагають відправлення підозрілого файлу на перевірку. Перевірка,як правило, виконується декількома відомими антивірусами.
- ↑ а б в г д е ж и к л м Лабораторія Касперського про фальшиві антивіруси. Архів оригіналу за 28 травня 2015. Процитовано 29 жовтня 2014.
- Howes, Eric L (4 травня 2007), Spyware Warrior: Rogue/Suspect Anti-Spyware Products & Web Sites, архів оригіналу за 22 вересня 2018, процитовано 2 травня 2009
- Kaspersky Lab: Rogue security software, архів оригіналу за 29 жовтня 2014, процитовано 24 квітня 2012