Основные методы распространения лжеантивирусов

Чтобы лжеантивирусу попасть на рабочий стол, им зачастую используется тот же способ, что и при распространении многих вредоносных программ. Так, скрытая загрузка, используемая Trojan-Downloader или же эксплуатация разного рода уязвимостей взломанных или зараженных уникальных сайтов. Но чаще сам пользователь легко загружает FraudTool. В этом им помогают злоумышленники, используя специальные программы, например Hoax или же рекламу в сети. Напомним, что Hoax, это вид программ-обманщиков. Цель: убедить каждого пользователя, что необходимо загрузить «волшебный» антивирус и далее установить его в систему. Hoax загружаются легко, с помощью бэкдоров или же через эксплуатацию уязвимости на определенном сайте. После установки, тут же появляется окно с неким предупреждением: ваша система содержит ряд ошибок, к тому же поврежден важный реестр в следствии чего, происходит кража ваших данных. То есть используется фальшивое предупреждение о заражении ПК шпионскими программами. Далее производится быстрая попытка загрузить, а потом и установить данный FraudTool. Для мирового распространения псевдоантивирусов прибегают к рекламе в интернете. Мы часто видим, как при веб-серфинге, а точнее в окне браузера появляются всплывающие окна, предлагающие бесплатно загрузить нужный вам антивирус. В окне есть кнопка «OK» или «YES». Но даже отказавшись от «уникального» предложения, этот фальшивый антивирус сам загружается и неважно нажал пользователь «YES» или «NO». Вот пример динамической загрузки псевдоантивирусов: по адресу ********.net/online-j49/yornt.html был легко размещен скрипт, что формировал адрес вида http://******. mainsfile.com.com/index.html?Ref=’+encodeURIComponent(document.referrer). Этот генерируемый адрес явно зависел от варианта выбора пользователя, то есть, с какого же сайта пользователь попадет на страницу со скриптом. В примере переход был выполнен на http://easyincomeprotection.cn/installer_90001.exe, в результате был задетектирован новый лжеантивирус FraudTool.Win32.AntivirusPlus.kv. Подобное активное распространение позволяет скрывать, обычно видимые, IP-адреса страниц. Это усложняет получение нужных файлов всеми антивирусными компаниями, а значит и их детектирование.