Троян, с помощью которого раньше осуществлялась торговля поддельным антивирусом, теперь использует новый способ убедить пользователей потратить деньги на бесполезную лицензию – он шифрует их данные.
Концепция шифрования данных на зараженных ПК используется с 2005 года, однако новая разновидность трояна Vundo, обнаруженная специалистами компании FireEye, представляет собой первый образец неприкрытого вымогательства со стороны современных поддельных антивирусов.
В FireEye не пояснили, как программа инфицирует машины пользователей, но попав в них, она начинает шифровать различные типы данных – например, файлы JPG, PDF и DOC. После этого на экране появляется реклама фальшивого антивируса FileFix Pro 2009, который якобы декодирует зашифрованные файлы.
К счастью, алгоритм шифрования не слишком тщательно проработан, поэтому техническому персоналу FireEye удалось написать скрипт perl, который помогает расшифровать файлы без необходимости платить злоумышленникам 40 долларов.
По состоянию на 19 марта ни одна из основных антивирусных программ не могла определить последнюю версию Vundo, поскольку его полиморфная структура позволяет изменять исполняемый файл при каждой загрузке на ПК. Троян, похоже, имеет восточноевропейское происхождение, так как Whois-запрос показывает, что владелец домена, распространяющего Filefix Pro, находится в Харькове, Украина.
Специалисты PandaLabs обнаружили на YouTube около 4900 видеороликов, комментарии к которым содержат ссылки на веб-страницу, специально созданную для загрузки вредоносного кода.
На первый взгляд, данные ссылки должны приводить на сайт порнографического содержания. Вместо этого пользователи попадают на страницу, где им предлагают загрузить файл для просмотра видео, который на деле оказывается копией ложного антивируса PrivacyCenter. При попадании на компьютер эта программа симулирует проверку системы и якобы обнаруживает огромное количество "вирусов". Затем пользователям предлагается купить платную версию "антивируса" для лечения всего компьютера. Именно это и является главной целью злоумышленников, которые рассчитывают получить доход от продажи "программы".
YouTube - это не единственный сайт Web 2.0, который был использован киберпреступниками для распространения вредоносных программ. "Жертвами" злоумышленников также стали такие ресурсы, как Digg.com и Facebook.
Жизнь подобна зависанию в интернете - бестолково, а уходить жалко!
подделки под антивирусные и антиспайварные программы
Итак наши герои, которых мы рассмотрим сегодня: XP Guard, AntiVir64, MSAntivirus, Power Antivirus, SpywarePrevent, XpertAntivirus, Antivirus XP 2008, Total Secure 2009.
[spoiler]Total Secure 2009
Программа похожа на IEAntivirus.
Antivirus XP 2008
XpertAntivirus
Загружается с сайтов: xpertantivirus.com : 91.208.0.230, scanner-xpertantivirus.com : 91.208.0.246.
SpywarePrevent
Загружается с сайта: spywarePreventer.com : 216.255.186.253.
Power Antivirus
Загружается с сайта: 91.208.0.231, scanner-pwrantivirus.com : 91.208.0.246.
MS Antivirus (это далеко не антивирус компании Microsoft)
Загружается с сайтов: msantivirusxp.com : 91.208.0.229; msscanner.com : 91.208.0.228.
Antivir64
Загружается с сайта: Antivir64.com; IP Address: 78.157.142.7
XP Guard
Загружается с сайта: XP-Guard.com; IP Address: 92.62.101.35[/spoiler]
Как удалить этих паразитов: Все эти поддельные программы и их инсталляторы, можно удалить используя Malwarebytes’ Anti-Malware (очень неплохая и бесплатная антиспайварная программа). 1 Скачайте и установите её на компьютер. Запустите. 2 Откройте закладку Обновления, и кликните по кнопке Проверить обновления. 3 Откройте вкладку Сканер, и кликните по кнопке Проверить. После сканирования кликните OK, вам будет показан результат сканирования. 4 Удалите всё что было найдено.
Примечание 1: некоторые из этих паразитов можно удалить с помощью SmitFraudFix, ComboFix.
Примечание 2: Вместе с Antivirus XP 2008 на компьютер проникает довольно трудно удаляемый троян tdssserv.sys, он блокирует запуск некоторых антиспайварных и антивирусных программ, но Malwarebytes’ Anti-Malware может его удалить, на данный момент. (Авторы паразитов тоже не дремлют)
Добавлено (06.09.2009, 17:13:51) --------------------------------------------- PC Security 2009
PC Security 2009 – это поддельная антиспайварная программа, которая распространяется через трояны и пытается обманом вынудить пользователя купить её полную версию. После того как компьютер был заражён этой паразитной программой, она выполняет несколько действий, среди них основные: прописывается в автозагрузку, для этого создаёт запись в ключе: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run реестра Windows, создаёт несколько файлов, которые позже будет определять как вирусы и трояны
Затем PC Security 2009 запускает процесс сканирования компьютера и находит множество заражённых файлов, троянов и тд. Очевидно, что всё это – обман, поэтому можете спокойно игнорировать.
Во время своей работы PC Security 2009 показывает различные предупреждения, сообщающие о том, что компьютер заражён, например:
Trojan detected! A piece of malicious code was found on your system which can replicate itself if no action is taken. Click here to have your system cleaned by PC Security 2009.
Но это ещё не всё, этот паразит использует поддельный центр безопасности Windows, для создания видимости того, что эту программу рекомендует компания Microsoft.
Всё описанное выше – части одного обмана, целью которого является покупка пользователем «полной» версии PC Security 2009. Делать этого не следуют, лучше воспользуйтесь ниже приведённой инструкцией для удаления этой вредоносной программы.
Smart Virus Eliminator это новая поддельная антиспайварная программа , продолжение серии, основателем которой был паразит Virus Doctor. Как и ранее, Smart Virus Eliminator использует фальшивые результаты сканирования, поддельные сообщения о заражении компьютера, в качестве способа принудить пользователя к покупке полной версии программы.
Во время заражения компьютера, Smart Virus Eliminator прописывается в автозагрузку, создаёт группу файлов, которые позже будет определять как заражённые, а кроме этого изменяет реестр Windows, таким образом, чтобы заблокировать запуск наиболее распространнёных антивирусных программ.
После своего запуска Smart Virus Eliminator запускает имитатор сканирования компьютера и, как другие поддельные антиспайварные программы, находит множество «заражённых» файлов. Причём часть из них, это файлы которые создал Smart Virus Eliminator раннее в процессе заражения. Поэтому, то что вам будет показано как результат сканирования, можно смело игнорировать, это подделка.
Smart Virus Eliminator во время своей работы, даже если закрыть окно программы, будет постоянно напоминать о себе, показывать сообщения о том, что якобы компьютер заражён, компьютер подвергается атаке из интернета и тд. Если кликнуть по такому сообщению, то откроется окно, в котором вам будет предложено купить полную версию программы.
SaveDefense это новая поддельная антиспайварная программа, которая является продолжением серии программ WiniBlueSoft, WinBlueSoft … Как и другие подобные паразиты SaveDefense при первом запуске настраивает Windows так, чтобы запускаться автоматически каждый раз как вы включаете компьютер. После этого стартует имитатор сканирования, его результат всегда один – компьютер заражён множеством троянов, вирусов и тд.
После чего сразу предлагается вылечить компьютер, но для этого вам придётся заплатить немалую сумму. Делать этого не нужно, всё что нашёл на вашем компьютере SaveDefense является подделкой.
PC Antispyware 2010 – это поддельная антиспайварная программа, обновление раннее вышедшей паразитной программы Home Antivirus 2010. PC Antispyware 2010 проникает на компьютер посредством использования троянов, в основном это braviax троян. После заражения компьютера, эта вредоносная программа прописывается в автозагрузку и создаёт несколько файлов, которые позднее будут определяться как инфицированные.
Сразу после запуска PC Antispyware 2010, стартует имитатор сканирования компьютера, результат которого всегда один – компьютер заражён. После чего, паразит предлагает вылечить компьютер, но при этом требуется сначала заплатить немалую сумму денег. Если вы откажетесь платить, то PC Antispyware 2010 постоянно будет напоминать о себе показывая различные сообщения о том что компьютер заражён. Например:
Privacy Alert! Your system was found to be infected with intercepting programs. These can log your activity and damage your privacy. Click here for PC Antispyware 2010 spyware removal.
Кроме этого программа подменяет центр безопасности Windows, создавая впечатление того, что этого паразита рекомендует Windows. Конечно это всего лишь часть обманной тактики, цель которой одна – получить ваши деньги.
SystemCop это вредоносная программа, которая является поддельной антиспайварной программой. Она относится к этой категории потому-что использует для своего распространения поддельные онлайн сканеры, показывает поддельные системные сообщения, которые сообщают что компьютер заражён, а так же находит на абсолютно чистом компьютере множество заражённых файлов, троянов и вирусов.
При заражении компьютера, SystemCop выполняет следующие действия: 1. создаёт несколько файлов, которые позже будет определять как заражённые, несколько примеров:
3. устанавливает на компьютер поддельный центр обеспечения безопасности Windows.
После того как SystemCop запустился, стартует процедура сканирования компьютера, результат всегда один, компьтер заражён множеством вирусов, троянов и тд.
Все эти найденые «вирусы и трояны» – обман, поэтому можете смело игнорировать всё, что вам покажет эта вредоносная программа.
Во время свой работы, SystemCop будет показывать различные предупреждения. Несколько примеров:
Угроза Безопасности! Ваш компьютер заражён вирусом! Это может повредить критические файлы или привести к утере персональных данных. Нажмите чтобы зарегистрировать вашу копию SystemCop и обезвредить вирусы на вашем персональном компьютере.
Центр Безопасности Угроза! Опасность заражения! Ваш компьютер атакует неизвестный вирус. Это может быть попытка кражи паролей или полного заражения системы.
SaveArmor – это новый поддельный антивирус из WiniGuard серии. Эта вредоносная программа проникает на компьютеры пользователя используя обманную тактику. Сначала пользователь с зараженной веб страницы попадает на сайт, который выглядит как онлайн сканер компьютера. Этот «сканер» находит на компьтере множество вирусов и предлагает скачать антивирус. Скачивать и запускать этот файл нельзя, так как он является трояном. Этот троян выполняет несколько основных действий: - скачивает и устанавливает SaveArmor - создаёт множество небольших файлов с разными именами, которые SaveArmor будет определять как заражённые - показывает различные предупреждения, сообщающие о том, что компьютер заражён или подвергается атаке интернете вируса - показывает поддельный центр безопасности Windows, которые будет рекомендовать использовать SaveArmor для защиты компьютера
При первом своём запуске SaveArmor прописывается в автозагрузку, после чего приступает к сканированию компьютера. В результате этого сканирования находится множество «заражённых» файлов (эти файлы были созданы ранее трояном). После чего пользователю предлагается вылечить компьютер, правда необходимо сначала купить полную версию программы. Делать этого не нужно, игнорируйте эти результаты сканирования, а так же все поддельные сообщения, что будет вам показывать зараженный компьютер. Используйте инструкцию приведенную ниже для удаления SaveArmor и других вредоносных программ, которые могли попасть на компьютер вместе с этим поддельным антивирусом.
SoftSafeness это поддельная антиспайварная программа, которая входит в серию подделок, основателем котороя является WiniGuard. Как и другие подобные программы этот паразит использует обманную тактику для того чтобы пользователь купил её полную версию. И конечно-же, SoftSafeness не сможет защитить компьютер или найти и удалить какие-либо вредоносные программы.
При первом своём запуске, SoftSafeness прописывается в атозагрузку и создаёт большое колличство файлов с разными именами, которые во время «сканирования» компьютера будут определены как заражённые. На самом деле эти файлы абсолютно безвредны.
SoftSafeness активно проявляет себя на заражённом компьютере, бомбардируя пользователя различными сообщениями и всплывающими окнами, которые сообщают что компьютер заражён и срочно требуется его вылечить. Кроме этого SoftSafeness устанавливает на компьютер поддельный центр безопасности Windows, который в свою очередь так же будет рекомендовать использовать эту поддельную программу.
Windows Protection Suite это поддельная антиспайварная программа, которая внешне очень похожа на нормальный антиспайварный продукт, но в реальности является вредоносной программой. Windows Protection Suite не может удалят вирусы и трояны, зато эта программа может хорошо создавать видимость заражения компьютера. Цель у этой паразитной программы одна – покупка пользователем её полной версии, которая так же ничего не умеет делать, но обладает одним отличием, она не находит на компьютере никаких вредоносных программ.
Windows Protection Suite распространяется в основном через поддельные антивирусные онлайн сканеры. Когда пользователь открывает страничку с таким сканером, то создаётся иллюзия того, что запустилась процедура сканирования компьютера. Но конечно же никакого сканирования не происходит, всё что видит пользователь – это неплохо выполненная имитация. Результат сканирования предсказуем, компьютер заражён. Тут же предлагается скачать программу, которая сможет удалить все найденные вирусы и трояны. Делать этого ни в коем случае не следует. Если скачать и запустить этот «антивирус», то компьютер заразится Windows Protection Suite.
Поведение Windows Protection Suite на заражённом компьютере стандартно. Сначала этот поддельный антивирус прописывается в автозагрузку, чтобы запускаться какждый раз, когда включается компьютер. Затем Windows Protection Suite создаёт множество файлов, которые позже в процессе сканирования будет определять как вирусы и трояны. После этих двух этапов, которые выполняются только при первом запуске Windows Protection Suite, стартует процедура сканирования, результатом которой является нахождения множество троянов, вирусов и других вредоносных программ. Показанные результата являются подделкой, поэтому их можно смело игнорировать.
Сказанное выше не всё что делает Windows Protection Suite на заражённом компьютере. Эта вредоносная программа так же постоянно показывает различные предупреждения о том что компьютер заражён, на компьютер производится атака из Интернета. Как и результаты сканирования, всё эти сообщения – подделка, поэтому можете смело их игнорировать.
SoftVeteran это новая поддельная антиспайварная программа, которая является заменой ранее появившейся SoftCop. (Смотри выше) Как и для других программ из серии WiniGuard, авторы этой вредоносной программы используют различные обманные методы для её распространения. Это поддельные антивирусные онлайн сканеры и трояны, которые выдаются за обновления к проигрывателю флеш файлов (adobe flash player). После того как такой троян попадёт на компьютер и будет запущен, он скачивает ещё два компонента, один из них это инсталлятор SoftVeteran, а другой – это ещё один троян, который будет постоянно бомбардировать пользователя различными сообщениями о том, что компьютер заражён или его атакует неизвестный интернет вирус.
После установки на комопьютер, SoftVeteran запускается автоматически и первым делом создаёт запись «SoftVeteran» в ключе «HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» реестра Windows, обеспечивая таким образом себе автозапуск при каждом включении компьютера. Затем запускается процесс сканирования компьютера. Результат предсказуем – на компьютере найдено множество заражённых файлов, компонентов троянов и вирусов. Причём эти файлы, кстати абсолютно безвредные, были созданы трояном, который до этого скачал и установил SoftVeteran на этот компьютер.
Из сказанного выше очевидно, что присутствие SoftVeteran на компьютере не желательно
SoftCop – это новая поддельная антиспайварная программа из WiniGuard серии, как SaveArmor и множество других.Производство этих подделок поставлено на поток, практически каждые несколько дней появляется новая. Основное их отличие – это название.
SoftCop использует трояны для своего распространения. После заражения компьютера, такой троян скачивает и устанавливает SoftCop, а так же ещё одну вредоносную программу, которая будет показывать различные поддельные предупреждения, сообщающие о том что компьютер заражён.
При первом своём запуске SoftCop прописывается в автозагрузку и приступает к сканированию компьютера, результатом которого является обнаружение множество заражённых файлов. Причём эти файлы, кстати абсолютно безвредные, были созданы трояном, который инсталлирует SoftCop. Как результаты сканирования, так и все сообщения о том, что компьютер заражён, являются подделкой. Всё это нужно для одной цели – создать видимость того, что компьютер заражён и вынудить пользователя купить полную версию программы. Делать этого не нужно, можете смело игнорировать всё, так как компьютер заражён только одним паразитом, которым как раз и является SoftCop
Cyber Security это поддельная антиспайварная программа, которая распространяется с помощью троянов и поддельных онлайн сканеров. Когда пользователь открывает такой онлайн сканер, запускается имитатор сканирования компьютер, после чего сообщается что компьютер заражён и предлагается скачать специальную программу, которая якобы вылечит компьютер. Эта программа – троян, который в свою очередь установит Cyber Security и возможно ещё несколько дополнительных троянов.
После проникновения на компьютер, Cyber Security в первую очередь прописывается в автозагрузку, обечпечивая таким образом себе автоматический запуск каждый раз когда пользователь включит компьютер. Затем Cyber Security приступает к сканированию компьютера. Результат такого сканирования предсказуем – компьютер заражён множеством троянов и вирусов
При этом сразу предлагается удалить найденных паразитов, НО для этого нужно купить полную версию этой программы. Если закрыть окно Cyber Security, то эта вредоносная программа продолжит напоминать о себе, показывая различные надоедливые сообщения. Как и результаты сканирования, все эти сообщения нужно игнорировать. Компьютер заражён только одним паразитом, которым как раз и является Cyber Security.
AntiAID это новая поддельная антиспайварная программа из семейства WiniGuard. Но она имеет небольшие отличия от своих предшественников. Авторы этого паразита частично изменили дизайн программы и её цветовую гамму, в остальном принципиальных отличий от своих собратьев (SoftVeteran, SoftCop) нет. Как и другие подобные программы, AntiAID проникает на компьютер посредством использования троянов. После того как троян запуститься, он скачивает эту поддельную антиспайварную программу, устанавливает её и настраивает её таким образом, чтобы она запускалась автоматически при каждом включении компьютера.
После своего запуска, AntiAID запускает имитатор сканирование, причём этот процесс для нескольких тысяч файлов файлов занимает всего несколько секунд. Результат сканирования всегда один, программа находит множество заражённых файлов, добавляя при этом, что они очень опасны. Чтобы удалить эти «трояны и вирусы», нужно заплатить несколько десятков долларов.
Чтобы создать более полную иллюзию заражения, троян который устанавливает на компьютер AntiAID, заражает компьютер ещё одним трояном. Этот троян будет показывать пользователю поддельный Центр Безопасности Windows, который рекомендует зарегистрировать (купить) AntiAID, а так же различные предупреждения сообщающие о том, что компьютер заражён или компьютер атакует неизвестный вирус.
Из сказанного выше очевидно, что присутствие AntiAID на компьютере не желательно.
Windows Enterprise Suite – это программа которая имитирует программу предназначенную для удаления вирусов, троянов и других вредоносных программам, но на самом деле является подделкой. Windows Enterprise Suite использует тактику запугивания и обмана пользователя, целью которой является покупка им полной версии программы. Эта вредоносная программа использует трояны для заражения компьютера. После проникновения на компьютер троян выполняет несколько действий. Во-первых, он скачивает и устанавливает на компьютер Windows Enterprise Suite, во-вторых регистрирует Windows Enterprise Suite в системном реестре Windows, для того чтобы этот паразит запускался автоматически при каждой загрузке Windows и в-третьих, этот троян создаёт несколько файлов в каталоге %UserProfile%\Recent, которые будут выдаваться за инфицированные файлы.
После того, как описанный выше троян закончит свою работу, он запускает программу Windows Enterprise Suite, которая в свою очередь сразу приступает к сканированию компьютеру. В реальности это сканирование ни что иное как подделка, Windows Enterprise Suite только перебирает файлы, которые находятся на жёстком диске пользователя, и после нахождения файлов, раннее созданных трояном, отмечает их как заражённые. Все эти файлы абсолютно безвредны и никак не могут навредить вашему компьютеру. Поэтому можете смело игнорировать результаты сканирования.
Кроме этого, для создания более полной иллюзии заражённого компьютера, Windows Enterprise Suite показывает различные предупреждения и всплывающие окна, которые сообщают о том, что компьютер заражён и срочно нужно активировать Windows Enterprise Suite в целях предотвращения потери личных данных. Как и результаты сканирования, всё это обман, который нужно игнорировать!
============================================================================ Жизнь подобна зависанию в интернете - бестолково, а уходить жалко!
Владельцы и создатели данного сайта не несут ответственность за использование и содержание ссылок и информации, представленных на этом сайте, а также за возможное игнорирование пользователями коммерческого статуса программного обеспечения, к которому ведут ссылки, представленные на данном сайте.
При копировании материалов активная ссылка на наш форум обязательна!
Главная форума
На сайт
Регистрация
Новые сообщения
Правила форума
Поиск
Быстрый вход
