Поддельные антивирусы
Раз Downadup начал скачивать на зараженные компы поддельные антивирусы, то наверняка скоро многим придется с ними столкнуться.
Да и вообще этот тип “вирусов”, которые притворяются антивирусами, сейчас очень распространен, так что я решил написать про симптомы заражения, про опасности таких поддельных вирусов и про свой опыт лечения одного компьютера, зараженного таким поддельным антивирусом.
Около месяца назад мне позвонила одна знакомая, которая знает, что я работаю в компании, занимающейся разработкой антивируса. Она позвонила посоветоваться, так как на ее компьютере якобы появился антивирус, который ей нашел несколько десятков вирусов и теперь просит заплатить 50 долларов за их лечение. Она спрашивала, что делать - платить или нет?
Первое и самое главное, что все должны знать: настоящий антивирус никогда не попросит денег за лечение вирусов. Если уж он их нашел - вылечит. Если же закончилась лицензия - он просто либо перестанет искать вирусы, либо перестанет скачивать новые апдейты, то есть, перестанет защищать от НОВЫХ вирусов, но по прежнему будет находить и лечить старые.
Так что, если “антивирус” просит деньги, чтобы вылечить вирус - это поддельный антивирус. Всё просто. Других вариантов быть не может.
Эти поддельные антивирусы выглядят очень похоже на настоящие антивирусы и их сообщения очень назойливы и пугающи. Раз в 5-10 минут они всплывают, сообщают вам о том, что вы заражены и нужно срочно вылечиться, а для этого заплатить.
Естественно, этих вирусов, которыми поддельный антивирус пугает, на компьютере нет. Они просто выбирают случайные незараженные файлы на компьютере и говорят, что они заражены вирусом, а имя подбирают случайно из списка “страшных” имен.
Выглядеть это может примерно так (картинки с блога Касперского):
Или так:
Или даже, как сообщение в браузере с сайта Microsoft.com:
В итоге люди пугаются и платят. Кстати, чем плохо заплатить? Тем, что вы теряете 50 баксов, ничего не исправляете и, внимание, данные вашей кредитки остаются у пиратов. Что они с ними сделают дальше и сколько вы потеряете - это уже отдельная история.
Я, естественно, посоветовал знакомой не паниковать, ничего не платить, рассказал ей, чем она заражена и попросил принести мне зараженный ноутбук.
Мне было интересно разобраться, как работает эта подделка и как от нее избавиться.
В итоге всё оказалось предельно просто.
Этот вирус запускал всего один процесс, который создавал окно, пугающее пользователя. Process Explorer умеет показывать, кто создал окно, так что этот процесс был мгновенно вычислен и уничтожен.
В систему вирус интегрировался настолько слабо, что удалось удалить его из автозапуска всего лишь удалив в реестре несколько папок и удалив папку с вирусом с диска. Больше никаких сообщений от этого вируса не вылезало.
Но дальше началось самое интересное. Установил ей антивирус (нашу бета-версию) и запустил скан. Скан обнаружил еще 5 разных вирусов, причем парочка из них была активирована и запущена - троян и keylogger. С трояном всё понятно.
А чем плох кейлоггер? Если вы нашли кейлоггер у себя, то считайте, что тот, кто вас заразил, знает все ваши пароли, инфу о кредитной карте и т.п. - все, что вы вбивали в инете когда-либо.
Это было самое опасное и неожиданное, так как за день до этого эта знакомая покупала книги на amazon-е и платила кредиткой. Уже на следующий день она пошла в банк, там все рассказала и ей сразу уничтожили кредитную карту (т.к. она считалась уже скомпрометированной) и сделали новую.
В общем, в итоге все обошлось хорошо, но мораль проста:
1. Имейте антивирус, которому вы можете доверять. Я лично не доверяю бесплатным антивирусам, один из которых стоял на том ноутбуке. Если жалко денег, то можно участвовать в какой-нибудь бета-программе, которые есть у многих платных хороших антивирусов. И не забывайте, что антивирус без апдейтов - это не антивирус.
2. Если вдруг заразились - не паникуйте. Вбейте имя вируса в гугл, найдите там, как его удалить и удалите. Ни в коем случае ничего никому не платите. Эти поддельные антивирусы в большинстве своем очень просты и очень легко удаляются.
3. После его удаления вируса просканируйте диск антивирусом, т.к. этот поддельный антивирус часто устанавливает еще и троян, чтобы скачивать свои новые версии. И если троян не удалить, то этот вирус вернется.
Похожие статьи:
“Вторжение” началось
Вопросы и ответы: Conficker и 1 апреля
Модификация червя Downadup - W32.Downadup.C.
Новый червь Downadup
Ждем новой эпидемии?
Очень опасная критическая уязвимость в Adobe Flash Player
Африканские письма, страсти и $5.7млн
Сделай свой интернет безопасным
Пробовал я этот антивирус. Впечатления отвратительные. Хорошая затея и идея - но реализация просто труба.
- весит сотню метров. для антивируса это слишком
- тормоза. на моем аусу а7у работа сделалась совершенно некомфортной
- ярлык деинсталлятора отсутствует в меню “программы” - крайне негативные впечатления.
Кстати, то же ikido данный антивирус так и не обнаружил.
Если интересен более развернутый комментарий: http://erazer.org.ua/2009/04/12/f-secure-i-poddelnyie-antivirusyi/
Присутствует нецензурная лексика.
Прочитал развернутый отзыв. Хоть отзыв и негативный, но все равно спасибо
Про 100МБ - следующая бета уже будет около 70. А финальный релиз может и меньше 50 получится сделать.
А вот про Kido можно подробнее? Апдейты скачались? Ибо должен лечить с последними апдейтами.
>Кстати, чем плохо заплатить? Тем, что вы теряете 50 баксов, ничего не исправляете и, внимание, данные вашей кредитки остаются у пиратов.
Ну я не думаю что создатели фейковых антивирусов имеют свою собственные биллинги. Обычно платежи процессят “порядочные” биллинги.
> После его удаления вируса просканируйте диск антивирусом, т.к. этот поддельный антивирус часто устанавливает еще и троян, чтобы скачивать свои новые версии. И если троян не удалить, то этот вирус вернется.
Тут тоже надо сказать, что фейковы
ой, чтот не то нажал
договариваю мысль…
Тут тоже надо сказать, что фейковый антивирь никаких левых кейлогеров и троянов не ставит. Только для своих нужд. Иначе бы их сразу за жопу бы взяли, ибо отследить кому идут деньги вполне реально. Как вы думаете - почему все это еще существует.
Не, если бы было возможно отследить - уже бы отследили. А трояну можно дать задачу скачать что угодно, не только новую версию фейкового антивируса.
>Не, если бы было возможно отследить - уже бы отследили.
http://webplanet.ru/news/security/2008/12/15/scareware_barred.html. Т.е. если есть суд, значит и есть кого судить. Просто все тут балансирует на грани законности.
>А трояну можно дать задачу скачать что угодно, не только новую версию фейкового антивируса.
Это да, только троян не принадлежит создателям лже-антивируса. Фейковый антивирус в системе - это следствие действий вируса(трояна), а не наоборот.
апдейты скачались. все поставилось. кидо сидел уже пару недель как - на двух съемных дисках и одном стационарном. проявления - типичные по сайту касперского. так вот, ваша софтина абсолютно никак не прореагировала на него. утилита с сайта касперского (правда, только после ее переименования) успешно кидо обнаружила и “замочила”. если это имеет значение, могу прислать файл с этим самым кидо для опытов.
по поводу размера - ну что ж, было бы здорово, если бы ваша софтина так хорошо похудела. возможно, и на “быстроногости” ее это сказалось положительным образом. ибо, хоть мы и живем в мир дотнета, но такие объемы для такого класса ПО - это все же сильный перебор. imho
Наша софтина не прореагировала скорее всего потому, что кидо блочил наш сайт и вы не получили апдейтов. А лечилка для кидо как раз из канала приходит.
Поэтому надо сначала кидо удалять тулзой, а потом только антивирусы ставить.
Да, помню рекламу такой радости. Особенно улыбнуло когда на моей Mandriva 2008.1 (год назад было) высветилось окно эксплорера венды-ХР, начало сканить диск С (коего в линуксе ясен пень нету) и сказало что там аж полторы сотни вирей. Я ржал минут 5