Из Википедии, свободной энциклопедии
  (Перенаправлено с антивируса Rogue )
Перейти к навигации Перейти к поиску
«MS Antispyware 2009» перенаправляется сюда. Не следует путать с Microsoft AntiSpyware .

Несанкционированное программное обеспечение безопасности - это форма вредоносного программного обеспечения и интернет-мошенничества, которое вводит пользователей в заблуждение, заставляя их поверить в наличие вируса на их компьютере, и стремится убедить их заплатить за поддельный инструмент для удаления вредоносных программ, который фактически устанавливает вредоносное ПО на их компьютер. Это форма пугающего ПО, которое манипулирует пользователями посредством страха, и разновидность программы- вымогателя . [1] Незаконное программное обеспечение безопасности представляет собой серьезную угрозу безопасности настольных компьютеров с 2008 года. [2] Двумя из первых примеров, получивших дурную славу, были BraveSentry и SpySheriff .

Распространение [ править ]

Незаконное программное обеспечение безопасности в основном полагается на социальную инженерию ( мошенничество ), чтобы преодолеть защиту, встроенную в современные операционные системы и программное обеспечение браузера, и установить себя на компьютеры жертв. [2] Веб-сайт может, например, отображать вымышленное диалоговое окно с предупреждением о том, что чья-то машина заражена компьютерным вирусом , и побуждать их с помощью манипуляций устанавливать или покупать пугающее ПО, полагая, что они покупают подлинное антивирусное программное обеспечение .

Большинство из них содержат компонент троянского коня , который пользователи вводят в заблуждение. Троянец может быть замаскирован под:

Однако некоторые мошеннические программы безопасности распространяются на компьютеры пользователей в виде файловых загрузок, которые используют уязвимости безопасности в веб-браузерах, средствах просмотра PDF -файлов или почтовых клиентах для установки без какого-либо вмешательства вручную. [3] [5]

Совсем недавно распространители вредоносных программ использовали методы отравления SEO , помещая зараженные URL-адреса в верхние строчки результатов поисковых систем о последних новостных событиях. Люди, ищущие статьи о таких событиях в поисковой системе, могут столкнуться с результатами, которые при нажатии на них перенаправляются через ряд сайтов [6], прежде чем попадут на целевую страницу, которая сообщает, что их машина заражена, и отправляет загрузку на «испытание» мошеннической программы. [7] [8] Исследование, проведенное Google в 2010 году, выявило 11 000 доменов, на которых размещено поддельное антивирусное программное обеспечение, что составляет 50% всех вредоносных программ, распространяемых через интернет-рекламу. [9]

Холодные звонки также стали вектором распространения этого типа вредоносного ПО, при этом звонящие часто утверждают, что они из службы поддержки Microsoft или другой законной организации. [10]

Распространенные векторы заражения [ править ]

Black Hat SEO [ править ]

Поисковая оптимизация Black Hat (SEO) - это метод, используемый для обмана поисковых систем, заставляя их отображать вредоносные URL-адреса в результатах поиска. Вредоносные веб-страницы заполняются популярными ключевыми словами для достижения более высокого рейтинга в результатах поиска. Когда конечный пользователь ищет в Интернете, возвращается одна из этих зараженных веб-страниц. Обычно самые популярные ключевые слова из таких сервисов, как Google Trends, используются для создания веб-страниц с помощью скриптов PHP, размещенных на взломанном веб-сайте. Эти PHPЗатем скрипты будут отслеживать роботов поисковых систем и кормить их специально созданными веб-страницами, которые затем отображаются в результатах поиска. Затем, когда пользователь ищет свое ключевое слово или изображения и нажимает на вредоносную ссылку, он будет перенаправлен на полезную нагрузку программного обеспечения безопасности Rogue. [11] [12]

Вредоносная реклама [ править ]

Большинство веб-сайтов обычно используют сторонние сервисы для рекламы на своих веб-страницах. Если одна из этих рекламных служб будет скомпрометирована, они могут случайно заразить все веб-сайты, использующие их службу, рекламируя мошенническое программное обеспечение безопасности. [12]

Спам-кампании [ править ]

Спам- сообщения, содержащие вредоносные вложения, ссылки на двоичные файлы и сайты непосредственной загрузки, являются еще одним распространенным механизмом распространения мошеннического программного обеспечения безопасности. Спам-сообщения часто рассылаются с содержанием, связанным с типичными повседневными действиями, такими как доставка посылок или налоговые документы, предназначенные для того, чтобы побудить пользователей переходить по ссылкам или запускать вложения. Когда пользователи поддаются подобным уловкам социальной инженерии, они быстро заражаются либо напрямую через вложение, либо косвенно через вредоносный веб-сайт. Это известно как попутная загрузка. Обычно при атаках с загрузкой через скрытую загрузку вредоносное ПО устанавливается на машину жертвы без какого-либо взаимодействия или осведомленности и происходит просто при посещении веб-сайта. [12]

Операция [ править ]

После установки мошенническое программное обеспечение безопасности может попытаться побудить пользователя приобрести услугу или дополнительное программное обеспечение путем:

  • Оповещение пользователя с подделкой или моделируемого обнаружением вредоносных программ или порнографии . [13]
  • Отображение анимации, имитирующей сбой системы и перезагрузку. [2]
  • Выборочное отключение частей системы для предотвращения удаления вредоносного ПО пользователем. Некоторые также могут препятствовать запуску программ защиты от вредоносных программ, отключать автоматические обновления системного программного обеспечения и блокировать доступ к веб-сайтам поставщиков средств защиты от вредоносных программ.
  • Установка реальных вредоносных программ на компьютер с последующим предупреждением пользователя после их «обнаружения». Этот метод менее распространен, поскольку вредоносное ПО может быть обнаружено законными программами защиты от вредоносных программ .
  • Изменение системных реестров и настроек безопасности с последующим «предупреждением» пользователя.

Разработчики мошеннического программного обеспечения безопасности также могут побуждать людей к покупке их продукта, заявляя, что они направляют часть своих продаж на благотворительные цели. Например, мошеннический антивирус Green заявляет, что жертвует 2 доллара на программу по охране окружающей среды с каждой совершенной продажи.

Некоторое мошенническое программное обеспечение безопасности частично совпадает с функциями пугающего программного обеспечения , а также:

  • Представление предложений по устранению неотложных проблем с производительностью или выполнению необходимых работ на компьютере. [13]
  • Напугать пользователя, представляя реалистичные всплывающие предупреждения и предупреждения системы безопасности, которые могут имитировать реальные системные уведомления. [14] Они предназначены для использования доверия, которое пользователь испытывает к поставщикам законного программного обеспечения для обеспечения безопасности. [2]

Санкции Федеральной торговой комиссии (FTC) и повышение эффективности средств защиты от вредоносных программ с 2006 г. затруднили прибыльную работу сетей распространения шпионского и рекламного ПО, которые и без того были сложными [15] . [16] Поставщики вредоносного ПО вместо этого обратились к более простой и прибыльной бизнес-модели мошеннического программного обеспечения безопасности, которое нацелено непосредственно на пользователей настольных компьютеров . [17]

Несанкционированное программное обеспечение безопасности часто распространяется через высокодоходные партнерские сети , в которых аффилированным лицам, поставляющим троянские наборы для программного обеспечения, выплачивается вознаграждение за каждую успешную установку и комиссию с любых связанных с этим покупок. Затем аффилированные лица берут на себя ответственность за создание векторов заражения и инфраструктуры распространения программного обеспечения. [18] В ходе расследования мошеннического программного обеспечения Antivirus XP 2008, проведенного исследователями в области безопасности, была обнаружена именно такая партнерская сеть, участники которой получали комиссионные свыше 150 000 долларов США в течение 10 дней с десятков тысяч успешных установок. [19]

Контрмеры [ править ]

Частные усилия [ править ]

Правоохранительные органы и законодательство во всех странах медленно реагируют на появление вредоносного программного обеспечения для обеспечения безопасности. Напротив, несколько частных инициатив, предусматривающих дискуссионные форумы и списки опасных продуктов, были основаны вскоре после появления первого мошеннического программного обеспечения безопасности. Некоторые уважаемые поставщики, такие как Kaspersky [20], также начали предоставлять списки мошеннических программ безопасности. В 2005 году была основана Anti-Spyware Coalition - коалиция компаний, выпускающих антишпионское ПО, ученых и групп потребителей.

Многие частные инициативы изначально были неформальными обсуждениями на общих интернет-форумах , но некоторые из них были начаты или даже полностью реализованы отдельными людьми. Возможно, наиболее известным и обширным из них является список мошеннических / подозрительных антишпионских продуктов и веб-сайтов Spyware Warrior, составленный Эриком Хоусом [21], который, однако, не обновлялся с мая 2007 года. Веб-сайт рекомендует проверять следующие веб-сайты на предмет наличия новых мошеннических антишпионских программ. программы, большинство из которых на самом деле не новы и являются «просто переименованными клонами и подделками тех же мошеннических приложений, которые существуют уже много лет». [22]

Усилия правительства [ править ]

В декабре 2008 года окружной суд штата Мэриленд США - по запросу Федеральной торговой комиссии - издал запретительный судебный приказ против Innovative Marketing Inc, расположенной в Киеве компании, производящей и продающей мошеннические программные продукты безопасности WinFixer , WinAntivirus , DriveCleaner , ErrorSafe и XP. Антивирус . [23] Компания и ее веб-хостинг в США ByteHosting Internet Hosting Services LLC были заморожены, им было запрещено использовать доменные имена, связанные с этими продуктами, а также любую дальнейшую рекламу или ложное представление. [24]

Правоохранительные органы также оказали давление на банки, чтобы те закрыли торговые шлюзы, участвующие в обработке покупок мошеннического программного обеспечения для обеспечения безопасности. В некоторых случаях большой объем возвратных платежей по кредитным картам, вызванный такими покупками, также побудил обработчиков принять меры против мошеннических поставщиков программного обеспечения для обеспечения безопасности. [25]

См. Также [ править ]

  • Антивирус
  • Список мошеннического программного обеспечения безопасности
  • Пугающее ПО
  • Мошенничество с техподдержкой
  • Winwebsec

Ссылки [ править ]

  1. ^ "Отчет Symantec о незаконном программном обеспечении безопасности" (PDF) . Symantec. 2009-10-28 . Проверено 15 апреля 2010 .
  2. ^ a b c d «Отчет службы безопасности Microsoft, том 6 (июль - декабрь 2008 г.)» . Microsoft . 2009-04-08. п. 92 . Проверено 2 мая 2009 .
  3. ^ a b Доши, Нишант (19 января 2009 г.), Заявления , вводящие в заблуждение - Покажи мне деньги! , Symantec , получено 22 марта 2016 г.
  4. ^ Доши, Нишант (21.01.2009), Заявления , вводящие в заблуждение - Покажи мне деньги! (Часть 2) , Symantec , получено 22 марта 2016 г.
  5. ^ «News Adobe Reader и уязвимость Acrobat» . blogs.adobe.com . Проверено 25 ноября 2010 года .
  6. ^ Чу, Киан; Хонг, Чун (30 сентября 2009 г.), Samoa Earthquake News ведет к Rogue AV , F-Secure , получено 16 января 2010 г.
  7. ^ Хайнс, Мэтью (2008-10-08), Malware Distributors Mastering News SEO , eWeek , получено 16 января 2010 г.
  8. ^ Рейвуд, Дэн (15.01.2010), Ненужный антивирус преобладает в ссылках, связанных с землетрясением на Гаити, поскольку донорам рекомендуется внимательно искать подлинные сайты , журнал SC , получено 16 января 2010 г.
  9. ^ Moheeb Абу Раджаб и Лука Ballard (2010-04-13). «Эффект Ноцебо в сети: анализ поддельного распространения антивируса» (PDF) . Проверено 18 ноября 2010 . Цитировать журнал требует |journal=( помощь )
  10. ^ «Предупреждение о холодных вызовах антивируса для пользователей Интернета в Великобритании» . BBC News . 2010-11-15 . Проверено 7 марта 2012 года .
  11. ^ «Технические документы Sophos - Sophos SEO Insights» . sophos.com .
  12. ^ a b c «Путешествие фальшивого антивируса Sophos от трояна tpna» (PDF) .
  13. ^ a b «Бесплатное сканирование безопасности» может стоить времени и денег , Федеральная торговая комиссия, 10 декабря 2008 г. , получено 2 мая 2009 г.
  14. ^ «SAP на распутье после проигрыша приговора в размере 1,3 миллиарда долларов» . Yahoo! Новости . 24 ноября 2010 . Проверено 25 ноября 2010 года .
  15. ^ Свидетельство Ари Шварца о «шпионском ПО» (PDF) , Комитет Сената по торговле, науке и транспорту , 2005-05-11
  16. ^ Лейден, Джон (2009-04-11). «Zango идет вверх: конец рынка рекламного ПО для настольных компьютеров» . Реестр . Проверено 5 мая 2009 .
  17. ^ Коул, Дэйв (2006-07-03), Deceptonomics: A Glance at the Misleading Application Business Model , Symantec , получено 22 марта 2016 г.
  18. ^ Доши Nishant (2009-01-27), вводящие в заблуждение Приложения - Show Me The Money! (Часть 3) , Symantec , получено 22 марта 2016 г.
  19. ^ Стюарт, Джо. «Вскрытие мошеннического антивируса - Часть 2» . Secureworks.com . SecureWorks . Проверено 9 марта +2016 .
  20. ^ «Безопасность 101» . support.kaspersky.com . Проверено 11 ноября 2018 года .
  21. ^ «Spyware Warrior: Rogue / Suspect Anti-Spyware Products & Web Sites» . spywarewarrior.com .
  22. ^ «Руководства по удалению вирусов, шпионского и вредоносного ПО» . BleepingComputer .
  23. ^ Ex Parte Временный запретительный судебный приказ RDB08CV3233 (PDF) , Окружной суд США по округу Мэриленд, 3 декабря 2008 г. , получено 2 мая 2009 г.
  24. ^ Лордан, Бетси (2008-12-10), Суд останавливает поддельное компьютерное сканирование , Федеральная торговая комиссия , получено 2 мая 2009 г.
  25. Кребс, Брайан (20 марта 2009 г.), «Сеть распространения незаконных антивирусов демонтирована» , Washington Post , получено 2 мая 2009 г.

Внешние ссылки [ править ]

  • СМИ, связанные с мошенническим программным обеспечением, на Викискладе?