Разрастание вирусов

Это предполагает отсутствие обновлений, закрывающих те или иные «дыры». Нельзя забывать и о необходимости регулярных обновлений ПО третьих производителей. Например, по результатам исследований компании Qualys, число «дыр» в Adobe Reader на сегодняшний день более чем утроилось по сравнению с 2008 г.

Операционные системы стали более устойчивыми к нападениям, и потому злоумышленники переключаются на приложения. Решения Adobe — огромное поле для атак, оно гораздо шире, чем занятое продуктами Microsoft Office. Это подтверждается и исследованиями компании F-Secure (www.f-secure.com/weblog/archives/00001676.html ). В течение первых трех месяцев 2009 г. антивирус F-Secure обнаружил 663 файла, используемых для нападения, причем наиболее популярными оказались приложения для обработки PDF (около 50%), Microsoft Word (40%), Excel (7%) и PowerPoint (4,5%). Компания F-Secure даже рекомендовала прекратить использование Acrobat Reader и заменить его альтернативным ПО для чтения PDF.

Причины усиления атак лжеантивирусов

На мой взгляд, возросшее распространение фальшивых антивирусов обусловлено несколькими факторами. Прежде всего, мошенники и киберпреступники постоянно ищут новые способы проникновения в компьютеры пользователей. Сами же потенциальные жертвы, хотя и подвержены истериям по поводу вирусных эпидемий, все же платить за защиту не желают. Да и слабые знания и нежелание учиться не позволяют многим «юзерам» разобраться в обилии антивирусных продуктов.

Как показывает исследование компании «Комкон» (www.cnews.ru/news/top/index.shtml?2009/12/04/372261), уровень пиратства в сегменте антивирусного ПО в России достигает 70%.

В ходе его также выяснилось, что около 42% взрослых россиян имеют ПК дома, но только у 68% из них установлено антивирусное ПО, причем лицензионными продуктами обладают в общей сложности лишь 29% их пользователей.

Эти данные позволяют сделать вывод о том, что распространение мошеннического антивирусного ПО будет процветать, так как пользователь, знающий о различных злоумышленниках и не имеющий дома антивируса (впрочем, как и применяющий пиратскую копию),— достаточно легкий объект для запугивания.

Российские поставщики антивирусов признают новый вид угроз в Рунете и констатируют 700%-й рост так называемых Rogue Antivirus (лжеантивирусов) по сравнению с прошлым годом. Лжеантивирусы вводят пользователя в заблуждение, оповещая о якобы имеющем место инфицировании его компьютера.

Фальшивый антивирус Win Security 360

В частности, недавно в Рунете был обнаружен продукт Anti-Spyware Pro (ASW), позиционирующийся как программа для удаления шпионского ПО. При первом удалении вируса пользователю предлагается заплатить 15 руб. за год, отправив SMS на короткий номер (в реальности стоимость сообщения возрастает до 5 долл. без НДС, на что указывает «лицензионное соглашение»).

Также известны и фальшивые антишпионы Antivirus XP 2008 и Max AntiSpy, работающие по аналогичной схеме: на компьютер пользователя устанавливаются троянские программы, после чего ему отправляют уведомление о том, что для «лечения» требуется отослать платное sms-сообщение.

Способы проникновения фальшивок в ПК

К огорчению пользователей, число мошеннических программ, особенно маскирующихся под антивирусные, антишпионские, обычно упоминаемые как scareware, в последнее время резко возросло.

Данные продукты фактически имитируют на зараженном ПК процедуру сканирования и выводят множественные ложные уведомления об обнаружении сетевых угроз, предлагая владельцам купить полную версию «антивируса» за отдельную плату.

Одинаковые интерфейсы DefendAPc, InSysSecure, SysDefender, SysProtector

Если в начале своей истории эти программы были относительно просты, то сейчас они используют полиморфные технологии и имеют собственные средства обнаружения, позволяющие блокировать доступ к страницам легальных антивирусных компаний.

Типичными представителями данного семейства зловредов являются WinAntispyware 2008, Antivirus 2009, AntiVirus Lab 2009, Antispyware Pro XP, Windows AntiVirus, Antivirus XP 2008 и т.п. Эксперты PandaLabs приравнивают их к категории инструментов для распространения навязчивой рекламы (adware), а в Trend Micro объединили все варианты в семейство FAKEAV. Согласно классификации «Лаборатории Касперского», такое ПО называется FraudTool и относится к классу Riskware.

Источниками подобных продуктов могут быть спамовые рассылки с вредоносными ссылками, распространяемые по каналам IM-сообщений, электронной почте и в социальных сетях.

Следует отметить, что результатом загрузки подобных «антивирусов» может быть не только приобретение абсолютно бесполезного ПО, но и попадание личных данных в руки злоумышленников.

Если в первой половине 2008 г. специалисты «Лаборатории Касперского» обнаружили более 3000 фальшивых антивирусов, то за аналогичный период 2009 г. — уже свыше 20 000 экземпляров.

Основные пути распространения

Как же проникает подобное ПО на компьютеры пользователей? Возможны два варианта. Первый характерен для большинства зловредов — использование троянцев, загружающих вредоносы из Сети, или уязвимостей зараженных сайтов. Во втором случае человек сам загружает подобное ПО. Чтобы убедить его поступать таким образом, используются методы социальной инженерии, реклама в Интернете и специальные программы, по-английски именуемые Hoax.

Сейчас на многих сайтах висят баннеры, сообщающие о некоем волшебном продукте, избавляющем от всех проблем. Насчет проблем не уверен, а вот денег лишат, это точно. Кроме того, встречается и реклама какого-нибудь бесплатного антивируса. Обычно на таком баннере или всплывающем окне есть лишь одна кнопка — Yes или OK. Но даже если их будет больше, вредоносное ПО все равно загрузится независимо от того, какую из кнопок вы выберете.

Что происходит после загрузки?

После инсталляции начинается процесс «сканирования», при этом вы получите сообщения о массовом заражении, ошибках реестра и т.д.

Более того, некоторые из подобных программ создадут на компьютере массу файлов со случайными названиями, что внешне будет выглядеть как проявление вирусной активности.

Стоит отметить, что сейчас столь массовое распространение подобных программ, особенно их одинаковый внешний вид, наводит на мысль о том, что существуют конструкторы подобного ПО.

Защита от фальшивых антивирусов

При просмотре сайтов будьте осторожны, особенно если вдруг увидите всплывающее предупреждение о том, что ваша система заражена и вам предлагают программу для удаления вредоносного ПО. Никогда не платите за программы, которые вам советуют инсталлировать! Как правило, это мошенническое ПО.

Используйте лицензионное программное обеспечение для защиты вашего ПК и своевременно его обновляйте. Если у вас установлены антивирус, антишпионская программа и ПО межсетевой защиты, то можете безбоязненно игнорировать те получаемые предупреждения, которые исходят не от установленного вами программного обеспечения. Также учтите, что большинство антивирусных приложений помогут сохранить ваш покой, потому что способны найти и обнаружить мошеннические программы.

Читайте программные обзоры на проверенных сайтах в области безопасности (www.securelist.com, www.viruslist.com и т. д.). Ни в коем случае не доверяйте вслепую сайтам, распространяющим программы защиты.

Проявляйте здоровый скептицизм. Знайте, что мошенническое ПО для защиты действительно существует в Интернете, и потому внимательно рассматривайте все, что вам предлагают.

Работайте с правами пользователя, а не администратора. Это позволит не только уберечься от подобных зловредов, но и предотвратить заражение компьютера в случае атаки на приложения!


Согласно статистике компании Panda, количество компьютеров, зараженных вредоносным ПО, только осенью прошлого года за один месяц выросло на 15%. При этом доля инфицированных ПК в мире увеличилась в среднем до 59%. Если же рассматривать статистику по странам, то в мировом рейтинге Россия занимает второе место с коэффициентом заражения 67,99%, что существенно выше среднего уровня.

Ложный антивирус (Rogue Anti-Spyware или rogueware) — вредоносное ПО, предназначенное прежде всего для мошеннического выкачивания денег из пользователей. По данным производителей антивирусного программного обеспечения, изобретателями этого способа интернет-мошенничества являются граждане бывшего СССР.


Данные продукты фактически имитируют на зараженном ПК процедуру сканирования и выводят множественные ложные уведомления об обнаружении сетевых угроз, предлагая владельцам купить полную версию «антивируса» за отдельную плату

Также известны и фальшивые антишпионы Antivirus XP 2008 и Max AntiSpy, работающие по аналогичной схеме: на компьютер пользователя устанавливаются троянские программы, после чего ему отправляют уведомление о том, что для «лечения» требуется отослать платное sms-сообщение