Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Branża fałszywych programów antywirusowych wciąż żyje i ma się nieźle

Wiaczesław Zakorzewski
Kaspersky Lab Expert
Dodany 28 października 2011, 11:40 CEST

Od czerwca 2011 roku obserwujemy znaczący spadek liczby fałszywych programów antywirusowych. Obecnie każdego dnia odnotowujemy 10 000 prób infekowania użytkowników szkodnikiem Trojan-FakeAV; jeszcze w czerwcu ilość ta kształtowała się na poziomie 50-60 000.


Dzienna liczba prób infekcji szkodnika Trojan-FakeAV na przestrzeni 5 ostatnich miesięcy

Pomimo spadku nadal pojawiają się nowe wersje tego typu szkodliwego oprogramowania. Niedawno do listy najpopularniejszych szkodliwych programów została dodana nowa rodzina: Trojan-FakeAV.Win32.OpenCloud.


Zrzut ekranu pokazujący program Trojan-FakeAV.Win32.OpenCloud.h w działaniu

Powyższy zrzut ekranu pokazuje, jak fałszywy program antywirusowy zidentyfikował standardowe pliki wykonywalne systemu Windows – w tym notepad, wmplayer, paint, calc, explorer itd. – jako “szkodliwe”. W ten sposób fałszywy antywirus ujawnia swoją obecność. Co ciekawe, szkodnik wspomina również o ochronie w chmurze, najwyraźniej żerując na tej modnej ostatnio koncepcji. Jeżeli użytkownik da się nabrać i kupi fałszywe oprogramowanie, może spodziewać się kolejnego oszustwa. Widoczna w centrum ekranu cena wynosi 52,95 dolarów, jednak małym druczkiem jest napisane, że za tak zwaną “dożywotnią” ochronę trzeba zapłacić 72,85 dolarów.


Trojan-FakeAV.Win32.OpenCloud.h’s – okno płatności

Posłużyliśmy się narzędziem WireShark, aby monitorować stronę płatności pod kątem fałszywego oprogramowania antywirusowego. Zrzut ekranu poniżej pokazuje, że dane są wysyłane na adres URL ******online.com. Obejmują one informacje o zainstalowanym systemie operacyjnym (6.0.2900), ID (8779) partnera, który będzie miał udział w zyskach, oraz inne informacje.


Zrzut ekranu pokazujący WireShark – narzędzie do przechwytywania ruchu

Według serwisu Whois, strona płatności ******online.com została zarejestrowana w Rosji na Denisa Werdańskiego 10 maja 2011 r.

Nazwa domeny:                *******ONLINE.COM
Serwer nazw:             dns1.*******online.com 64.191.**.***
Serwer nazw:             dns2.*******online.com 64.191.**.***
Data utworzenia:           2011.10.05
Data uaktualnienia:            2011.10.22
Data utraty ważności:         2012.10.05
 
Status:                  DELEGATED
 
ID rejestrującego:           2AOTCR9-RU
Nazwa (imię i nazwisko) rejestrującego:         Denis Vernadskiy
Firma Rejestrującego: Denis Vernadskiy
Ulica rejestrującego:      Moscow, B.Polyannaya 23, kv11
Miasto rejestrującego:         Moscov
Kod pocztowy rejestrujacego:  109881
Kraj rejestrującego:      RU

Pod adresem IP wskazanym w informacjach dotyczących serwera nazw wykrytego hosta zidentyfikowaliśmy program partnerski o nazwie “Money Racing AV”. Przy użyciu wyszukiwarki na rosyjskim forum cyberprzestępczym dotarliśmy do informacji o tym programie.


Ogłoszenie w języku rosyjskim dotyczące cyberprzestępczego programu partnerskiego Money Racing AV

W ogłoszeniu cyberprzestępcy zachęcają innych sobie podobnych do dystrybucji fałszywego oprogramowania antywirusowego. Za każdym razem, gdy program zostanie zainstalowany i ofiara dokona zapłaty, "dystrybutor" otrzymuje 25 dolarów, co stanowi ponad jedną trzecią ceny szkodnika. Resztę pieniędzy zgarniają właściciele programu partnerskiego, którzy dostarczają fałszywy antywirus oraz interfejs serwisu płatności online, jak również obsługują transakcję.

Mimo obserwowanego gwałtownego spadku na rynku fałszywych programów antywirusowych wciąż istnieją gangi cyberprzestępcze, które odnoszą sukcesy na tym polu i nadal dystrybuują tego rodzaju programy. Dlatego jeżeli zobaczycie komunikaty o „błędach w Windowsie” czy „infekcjach systemowych”, zachowajcie ostrożność. W żadnym razie nie płaćcie za rozwiązanie, które próbuje nakłonić was do zainstalowania go, i upewnijcie się, że instalujecie w swoim systemie tylko „prawdziwe” produkty bezpieczeństwa.