Последний год стала острой проблема появления программ, которые не являются тем, за что себя выдают. Наиболее известные представители таких программ — псевдоантивирусы, которые выводят сообщения об обнаружении вредоносных программ, но на самом деле ничего не находят и не лечат, и рекламные баннеры порнографического содержания. Их задача состоит в одном: убедить пользователя в наличии угрозы (на самом деле несуществующей) для компьютера и спровоцировать его уплатить деньги за активацию «антивирусного продукта», либо оплатить снятие неудобной картинки с рабочего стола. В первом случае такой вид программ называется FraudTool и относится к классу RiskWare. Во втором - Pornware — программы, которые так или иначе связаны с показом пользователю информации порнографического характера.

К этим категориям относятся и обычные программы, которые свободно продаются и широко используются в легальных целях. Тем не менее, в руках злоумышленника они способны причинить вред: а именно - вызвать удаление, блокирование, изменение или копирование информации, нарушить работу компьютеров или компьютерных сетей. В списке программ категории Riskware можно обнаружить утилиты удаленного администрирования, программы дозвона, программы для «скачивания» файлов, мониторы активности компьютерных систем, программы-клиенты IRC, утилиты для работы с паролями, а также многочисленные интернет-серверы служб FTP, Web, Proxy и Telnet. Программы FraudTool очень распространены, и их популярность у мошенников постоянно растет. Если в первой половине 2008 г. по сети гуляло около трех тысяч, то к концу 2009 года — более двадцати пяти тысяч экземпляров.

КАК ОНИ РАСПРОСТРАНЯЮТСЯ?

Для распространения программ FraudTool используются те же способы, что и для большинства вредоносных программ: скрытая загрузка при помощи Trojan-Downloader, использование уязвимостей взломанных и/или зараженных сайтов, уязвимости интернет-браузеров. Однако, чаще всего пользователь САМ загружает на свой компьютер FraudTool. Для того чтобы этого добиться, злоумышленники используют специальные программы (Hoax) и рекламу в интернете. Hoax — тоже вид программ-обманщиков. Их основное назначение — убедить Вас в необходимости загрузки программного обеспечения «совершенно уникального по своим возможностям» и установить фальшивку в систему, даже в случае отказа. Hoax загружаются на компьютеры в основном с помощью самозапускающихся троянских программ (Бэкдоров) или путем эксплуатации уязвимости на сайте. После установки программы появляется окно с предупреждением о том, что система содержит множество ошибок, поврежден реестр или происходит кража конфиденциальных данных. Появляющееся в такой момент окошко весьма натурально копирует вид cтандартных предупреждений Брандмауэра Windows, или распространенных Антивирусов. Для распространения FraudTool мошенники используют и рекламу в интернете. В настоящее время множество сайтов размещают баннеры с информацией о новом «волшебном» продукте, который избавляет от всех проблем. ДАЖЕ на каком-либо легальном ресурсе с большой долей вероятности можно увидеть мигающий баннер или навязчивую флэш-рекламу «фантастической программы». Кроме того, при веб-серфинге в окне браузера пользователя могут появляться всплывающие окна с предложением бесплатно загрузить утилиту, антивирус, новую игру или предложить поучаствовать в каком-нибудь розыгрыше (лотерее). Как правило, такое окно вообще не оставляет выбора, в нем присутствует только кнопка «OK» или «YES». Даже в тех случаях, когда якобы можно отказаться от предложения, фальшивка загружается независимо от того, какую кнопку Вы выбрали — «YES» или «NO». Существует способ динамической загрузки лжепрограмм. Например, по адресу ********.net/online-j47/yornt.html был размещен скрипт, который для последующего перехода формировал адрес вида http://******. mainsfile.com.com/index.html?Ref='+encodeURIComponent(document.referrer). Генерируемый адрес зависел от того, с какого сайта пользователь попадал на страницу со скриптом. Далее осуществляется переход по ссылке загрузки вредоносной программы. Например: http://easyincomprotection.cn/installer_90001. exe Динамическое распространение позволяет злоумышленникам скрывать IP-адреса страниц, с которых загружаются вредоносные программы, что затрудняет их обнаружение. Такое распространение также используется многими популярными червями и вирусами. Скорее всего, одна и та же группа вирусописателей занимается как сетевыми червями, так и программами-мошенниками, причем первые используются для того, чтобы беспрепятственно установить вторые.

ЧТО ПРОИСХОДИТ ПОСЛЕ?

В зависимости от разновидности (RiskWare или PornWare) первый этап являет собой "сканирование” системы на вирусы или уязвимости. По ходу сканирования, например псевдоантивирус выводит сообщения, последовательность которых хорошо продумана: ошибка Windows, обнаружение вредоносных программ, необходимость установить антивирус. Иногда для того, чтобы создать у пользователя более надежную иллюзию работы программы, вместе с псевдоантивирусом на компьютер устанавливается специальный файл, который детектируется во время «сканирования». Фальшивый антивирус предлагает исправить якобы выявленные ошибки и вылечить систему, но уже за деньги. Для примера рассмотрим действия FraudTool.Win32.DoctorAntivirus и FraudTool.Win32.SmartAntivirus2009. Они находят несуществующие проблемы в Windows XP Professional Service Pack 2, а также просят заплатить за активацию продукта. Например, DoctorAntivirus обнаружил 40 бэкдоров, троянских и шпионских программ и выдал предупреждение о том, что их наличие может привести к различным системным сбоям. Другой лжелекарь, SmartAntivirus2009, нашел еще больше проблем, также отметив их опасность. При нажатии на кнопку удаления угроз в обоих случаях выдается окно, предлагающее купить поддельный продукт. Если пользователь решается на покупку «антивируса», ему предлагается множество способов оплаты — PayPal, American Express и т.д. После оплаты пользователь получает код для регистрации. Чтобы пользователь не заподозрил обмана, в обоих случаях присутствует корректная проверка кода — произвольные данные ввести нельзя. Отметим, что окна активации DoctorAntivirus и SmartAntivirus2009 практически идентичны. Это наводит на мысль о том, что разработчики такого рода программ могут использовать генератор кода, который изменяет лишь некоторые строки и стили окон, а все остальное оставляет прежним. Для лжепрограмм, как правило, после загрузки «бесплатной пробной версии» Вам предлагают активировать полную версию, но уже за деньги. Использование готовых наработок позволяет создавать множество однотипных программ без значительных временных затрат, а также обходить классические сигнатуры антивируса. Производство псевдопрограмм в настоящее время поставлено на поток, а эволюция FraudTool направлена на усложнение тела программы, для того чтобы обмануть антивирус. При этом псевдоантивирусы практически невозможно определить с помощью эвристических сигнатур, которые основаны на поведенческом анализе. Это в первую очередь связано с тем, что очень сложно технически отличить обычную программу-фальшивку, открывающуюся в отдельном окне, от легальной пользовательской программы.

ЧТО ДЕЛАТЬ ПОТОМ?

Заражение компьютера фальшивыми антивирусами не наносит вреда системе, с их помощью мошенники умело выманивают деньги у неопытных пользователей. Яркий, эффектный интерфейс, набор пугающих сообщений о заражении компьютера и призывы купить «продукт» могут довольно легко сбить человека с толку и заставить его отдать деньги мошенникам. Пороно-баннеры блокируют работу некоторых систем Windows, располагаются стабильно поверх всех открываемых окон, делая использование компьютера крайне некомфортным. Иногда поражение вредоносными программами вызывает сбои: «слетают» драйвера на оборудование (пропадает звук, картинка на экране становится крупнее, перестает печатать принтер, пропадает доступ к ресурсам Интернет и т. д.), постоянные «провисания» в работе операционной системы, необоснованные перезагрузки. Если на вашем компьютере активизировался неизвестный программный продукт, необходимо проверить, есть ли у фирмы, которая его распространяет, официальный сайт и техническая поддержка. Их отсутствие говорит о том, что перед вами фальшивка. Надо помнить, что ни одна легальная программа не будет сначала сканировать компьютер, а затем требовать деньги за активацию, особенно через СМС. Если вы сталкиваетесь с таким поведением неизвестного продукта, ни в коем случае не платите за его использование или нейтрализацию. На данный момент самым адекватным методом обезвреживания программ-мошенников является полная переустановка операционной системы. Более «щадящие» методы (зачистка реестров, системных папок и пр.) могут иметь временный эффект. К тому же, пораженная однажды операционная система напоминает ветхую одежду, которая все-равно будет расходиться по швам, сколько «заплаток» на нее не ставь.

КАК СЕБЯ ОБЕЗОПАСИТЬ?