Бизнес FakeAV жив и здоров

С июня 2011 года мы наблюдаем значительное уменьшение количества фальшивых антивирусов. В настоящее время фиксируем по 10 000 попыток заражения FakeAV ежесуточно. В то время как в июне эта величина достигала 50 000 - 60 000.

Количество попыток заражения Trojan-FakeAV в сутки, июнь-сентябрь 2011 г.

Несмотря на это наблюдается появление новых версий вредоносного ПО такого типа. Так, недавно мы создали для лжеантивирусов новое семейство — Trojan-FakeAV.Win32.OpenCloud.

Фрагмент работы Trojan-FakeAV.Win32.OpenCloud.h

На скриншоте обратите внимание на “детектирование” стандартных файлов Windows: notepad, wmplayer, paint, calc, explorer и т.д. Но несмотря на то что этот «антивирус» таким образом выдает себя, он упоминает облачную защиту “Cloud Protection”, достаточно модную сейчас, — как бы заявляя о своей актуальности. Если пользователь все-таки решит оплатить эту фальшивку, то его ожидает еще один обман. В центре экрана с формой для оплаты указана сумма $52,95, а по бокам, мелким шрифтом добавлена оплата “пожизненной” лицензии, что доводит сумму, которую должен заплатить пользователь, до $72,85.

Страница оплаты Trojan-FakeAV.Win32.OpenCloud.h

Для отслеживания сайта, на котором будет осуществляться оплата поддельного антивируса, был применен WireShark. На представленном ниже скриншоте видно, что на хост ******online.com отправляется информация об установленной ОС (6.0.2900), ID партнера (8779), которому будет выплачен определенный процент и другая информация.

Скриншот работы программы WireShark, осуществляющей перехват трафика

По данным Whois сервиса, сайт ******online.com, используемый для оплаты “услуг” FakeAV был зарегистрирован 10 мая 2011 года на имя Denis Verdanskiy у русского регистратора.

Domain name:             *******ONLINE.COM
Name Server:             dns1.*******online.com 64.191.**.***
Name Server:             dns2.*******online.com 64.191.**.***
Creation Date:           2011.10.05
Updated Date:            2011.10.22
Expiration Date:         2012.10.05

Status:                  DELEGATED

Registrant ID:           2AOTCR9-RU
Registrant Name:         Denis Vernadskiy
Registrant Organization: Denis Vernadskiy
Registrant Street1:      Moscow, B.Polyannaya 23, kv11
Registrant City:         Moscov
Registrant Postal Code:  109881
Registrant Country:      RU

Оказалось, что по IP-адресу, указанному в информации об NS-сервере исследуемого хоста, расположена партнерка под названием Money Racing AV. С помощью поисковика удалось найти информацию об этой партнерке на одном из русских андеграунд-форумов.

Объявление партнерки Money Racing AV

В объявлении злоумышленники предлагают распространять FakeAV, обещая платить $25 с каждой оплаты фальшивого антивируса. Это составляет чуть больше одной трети от того, что платит пользователь. По-видимому, остальная часть идет владельцам партнерки, которые обеспечивают “партнерам” сам поддельный антивирус, веб-интерфейс оплаты и собственно перевод денег жертвы.

Как мы видим, несмотря на значительный спад на рынке FakeAV, в настоящее время успешно существуют криминальные группы, которые занимаются их распространением. Поэтому будьте бдительны, когда увидите сообщения об “ошибках Windows” или “заражении системы”. Ничего не оплачивайте и установите лицензионный антивирус.