Специалисты по борьбе с кибер-криминалом во всем мире ежедневно разрабатывают все новые меры в ответ на возникающие угрозы. По статистике, каждый час на свет появляется несколько новых вирусов и других представителей вредоносного ПО, способных нанести реальный вред компьютерам пользователей. Одним из лидеров в разработке антивирусного программного обеспечения по праву считается Россия, где, в частности, находится штаб-квартира знаменитой «Лаборатории Касперского».

Однако, как гласит известное присловье, и на старуху бывает проруха. Не так давно кибер-мошенники весьма успешно атаковали американский сайт «Лаборатории Касперского» (usa.kaspersky.com), в результате чего данный портал из борца с компьютерными мошенниками на какое-то время фактически превратился в их союзника. Одним словом, в точности по фразе из популярной кинокомедии: ”Кто нам мешает, тот нам поможет”.

В течение трех с лишним часов посетители данного ресурса перенаправлялись на один из мошеннических сайтов, где им предлагалось поставить поддельный антивирус для защиты от якобы обнаруженных на компьютере вредоносных программ-троянов.

Корпорация Microsoft предупредила о том что, в сети появился опасный фальшивый антивирус, распространяемый через Интернет-браузеры. Фальшивый антивирус под кодовым названием Rogue:MSIL/Zeven автоматически определяет тип браузера, а затем очень похоже имитирует соответствующие диалоги браузера с предупреждением о вирусной угрозе.

Фальшивые диалоги предупреждений почти неотличимы от настоящих — далеко не каждый пользователь сможет с первого взгляда определить подделку. Эта уловка представляет собой разновидность социальной инженерии, но в данном случае авторы вируса полагаются на то, что пользователи доверяют своим браузерам — по словам специалистам по информационной безопасности, подобная тактика обнаружена впервые.

Фирма Zscaler объявила об обнаружении на просторах Интернета почти трех миллионов фальшивых страниц YouTube, цель которых — заставить пользователей загрузить поддельное антивирусное ПО. Согласно данным, опубликованным на официальном блоге Zscaler, все эти страницы проиндексированы Google и могут быть легко обнаружены поиском по ключевой фразе ”Hot Video”.

Каждая из найденных специалистами фирмы страниц содержит невидимый слой с элементами Flash, которые автоматически перенаправляют потенциальных жертв на страницу фальшивого антивируса. URL Flash-файла, расположенного на другом домене, скрыт с помощью javascript. Помимо этого, чтобы гарантировать индексацию подставных страниц, их создатели включают в HTML-код ссылки на такие известные и законопослушные ресурсы, как flickr.com, nasa.gov, google.com и другие.

Несколько раз в блоге мы затрагивали тему фальшивых антивирусных программ, рассказывали, как с помощью технологий Black SEO злоумышленники заставляют поисковые системы перенаправить пользователей на сайты фальшивых антивирусов. Недавно мы заметили, что распространяемые фальшивые антивирусы снабжены кнопкой Online Support. Посмотрите в правый верхний угол:

Пост Фальшивые антивирусы: Найдите 10 отличий, напомнил мне одну историю: на сайте answers.yahoo.com, пользователь по имени Magica De Spell, задал следующий вопрос:

Несколько месяцев назад Дмитрий Бестужев - Эксперт «Лаборатории Касперского» - написал блогпост «Эволюция продолжается...», в котором рассказывал о новой тенденции в графических пользовательских интерфейсах фальшивых антивирусов. Наши предположения оказались правильными, и сегодня мой коллега Фабио Ассолини нашел веб-сайт, предлагающий антивирус, оформление которого очень похоже на оформление Антивируса Касперского.

Убедитесь сами:


Уже не в первый раз мы находим подделки наших решений. Интересно то, что за время наших поисков мы обнаруживали фальшивые версии других антивирусных решений на том же самом вредоносном хосте.

Data Protection Removal Tool 1.0 — это бесплатная утилита, не нуждающейся в установке, предназначая для удаление фальшивого антивируса Data Protection, который, помимо ложных уведомлении о несуществующих угроз, отключает антивирусную защиту, Диспетчер задач и Редактор реестра. Для того чтобы удалить вредоносную программу, программа Data Protection Removal Tool 1.0 будет отключить все процессы вредоноса, удалить ключи реестра и файлы созданные при заражение.

В виртуальном мире, недавно появился новый фальшивый антивирус — Data Protection, который в отличие от большинство аналогичных программ, при первом же запуске пытается отключить защиту и удалить законные антивирусные программы (такие как NOD32, Norton Internet Security, Avira AntiVir, AVG и avast). Помимо этого, для того чтобы пользователи не имели возможности удалить вредоносную вручную программу — фальшивый антивирус Data Protection отключает Диспетчер задач и Редактор реестра.

Всем известно, что в виртуальном мире, есть люди, которые пытаются заработать деньги, любыми способами, в том числе — трагическими событиями. На этот раз, злоумышленники пытаются использовать смерть членов политической элиты польского государства, для достижения своих целей.

Не теряя времени и используя разные методы 'черной' оптимизации (так называемый Black SEO), злоумышленники продвигают своих сайтов, на первых страниц поисковых систем, под множество вопросов связанных с авиакатастрофой в который погиб и президент Польши, Лех Качинський (Lech Kaczynski).

Antivirus 7 (также известен как Antivirus7) — это новая вредоносная программа, которая скрывается под маской антивируса и постоянно уведомляет пользователей о якобы обнаруженных на компьютере вредоносных программах. Этот зловред является продолжением серии поддельных антивирусов, в состав которой входят Antivir 2010, Antivir Antivirus, Antivir, Alpha Antivirus и другие. Antivirus 7, как и другие подобные программы, не предлагают пользователям никакой реальной защиты, но все-таки, требует купить её полную версию, чтобы удалить не существующие вирусы и трояны.

Стоит отметить, что вместо того, чтобы защитить компьютер, вредоносная программа пытается отключить брандмауэр, таким образом оставив компьютер уязвим для внешних атак.

Antivirus 7 использует трояны для проникновения на компьютер. Когда такой троян запущен, он скачивает и устанавливает на компьютер эту поддельную антивирусную программу. При своём первом запуске, Antivirus 7 создаёт запись с именем AV7 в ключе:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run, таким образом, создавая себе возможность запускаться автоматически при каждом запуске Windows.

Исследование, проведенное компанией Symantec, показало, что в настоящее время только на территории Соединенных Штатов десятки миллионов компьютеров могут содержать фальшивые антивирусные программы.

Распространение ложных антивирусов - один из наиболее популярных сейчас способов обмана пользователей в Интернете.

Предложения об установке таких программ могут поступать с сайтов, контролируемых злоумышленниками, через электронные письма и пр.

Как правило, при посещении страницы с фальшивым антивирусным программным обеспечением потенциальной жертве сообщается, что персональный компьютер инфицирован, а для его лечения рекомендуется скачать средство защиты.

Попав на компьютер, фальшивый антивирус якобы выполняет сканирование системы и затем сообщает, что для удаления найденных вредоносных программ (которых на самом деле нет) необходимо купить платную версию продукта.