В марте 2010 года в Новосибирске активизировался уже известный тип вирусов, имитирующий работу антивирусной программы, якобы обнаружившей на компьютере пользователя вирусную угрозу, сообщила в своем пресс-релизе компания-разработчик средств информационной безопасности «Доктор Веб».
Чтобы спасти компьютер, пользователю от лица либо малоизвестной антивирусной компании, либо компании «Майкрософт» предлагается отправить платное SMS, чтобы активировать антивирус и удалить обнаруженные вирусы. Корреспондент НГС.НОВОСТИ, едва не отправивший такое платное SMS, выяснил, в чем причина успешности этого вида вирусной атаки.
Первым подобным вирусным ударом для новосибирцев стал декабрь-январь 2010 года, когда вирус «намертво» блокировал операционную систему, вынуждая пользователя отправить платное SMS для разблокировки, подтвердили в компании «Доктор Веб». Особый успех этой вирусной атаки объяснялся тем, что появляющееся диалоговое окно, которое невозможно было закрыть до ввода «кода активации», висело на фоне невесть откуда выскочившего окна с изображением порнографических сцен. Предположительно именно поэтому многие пользователи, опасаясь быть неправильно понятыми, бросались отправлять SMS.
Нынешняя вирусная атака (Trojan.Fakealert) играет уже на другом чувстве пользователей — безопасности.
В одном из распространенных вариантов этого вируса во время работы в интернете неожиданно открываются страница, на первый взгляд точная копия папки «Мой компьютер», и диалоговое окно «Сообщение центра обеспечения безопасности», где пользователю сообщается, что на компьютере обнаружены вирусные программы. Когда на минувших выходных эта проблема коснулась автора, то он, практически не сомневаясь — настолько, на его взгляд, все было похоже на настоящее предупреждение об угрозе, — нажал кнопку «Лечить все», намереваясь удалить вирусы. В ответ выскочило новое диалоговое окно с указанием, что срок действия антивируса истек, но есть возможность активировать его прямо сейчас, отправив SMS по указанному короткому номеру. Так как у автора действительно еще несколько месяцев назад истек срок действия антивирусной программы, то он уже было потянулся к мобильному телефону, как вдруг появилось чувство, что здесь что-то не так.
После внимательного изучения окна «Мой компьютер» все стало понятно — на самом деле оно лишь напоминало стандартное окно.
Окно ложного антивируса имитирует работу легального программного обеспечения
Вирусное окно закрылось обычным нажатием на кнопку «Закрыть», и далее «ОK» в новом диалоговом окне с вопросом типа «Вы действительно отказываетесь удалить вирусы, угрожающие безопасности вашего компьютера?». При этом, как позже уточнил автору вирусный аналитик компании «Лаборатории Касперского» Денис Масленников, «недостаточно закрыть окно или совершить перезагрузку. Если вирус проник на компьютер, нет никакой гарантии, что он не совершит дальнейшие вредоносные действия, поэтому мы настоятельно рекомендуем провести сканирование легальным ПО». По данным пресс-центра компании «Доктор Веб», первые подобные лжеантивирусы появились пять лет назад, но их массовое распространение началось только осенью прошлого года в США и странах ЕС, при этом с самого начала особенностью вируса было то, что он стремился опустошить кошелек пользователя и не наносил вред компьютеру.
В России активное распространение Trojan.Fakealert началось только в феврале 2010 года, и в настоящий момент уже известно несколько десятков типов сайтов с лжеантивирусами, в подавляющем большинстве — англоязычные.
Средняя стоимость платных SMS в России, которые уходят на короткие номера этих вирусных программ, составляет 150–300 рублей, в то время как на Западе мошенники мотивируют пользователей отправлять не SMS, а совершать безналичные платежи при помощи банковских карт, с которых списывается в среднем по 50 долларов.
По мнению главного специалиста новосибирской компании «Центр компьютерной помощи» Артема Шумилова, основная причина успеха подобных вирусных программ, заставляющих пользователей отправлять на счета мошенников платные SMS, может быть в высокой популярности легальных SMS-сервисов. «Написали номер — ну что же, отправим: о нас же заботятся, сразу лечить все предлагают, — рассуждает специалист. — Но лично я, например, даже если бы не был искушен в борьбе с вирусами, вряд ли бы стал отправлять неизвестно кому SMS по непонятной цене». Самым простым и эффективным способом борьбы с любыми вирусными атаками, в том числе лжеантивирусами, Артем Шумилин называет установку на компьютере любой из современных антивирусных программ, которые не требуют каких-то определенных знаний для их эффективного использования, «и в большинстве случаев все будет хорошо».
Иную причину успешности вирусной ловушки корреспонденту НГС.НОВОСТИ озвучил Борис Комлев, системный администратор одной из новосибирских IT-компании. «Причина в том, что когда обычный человек обнаруживает вирус, он начинает паниковать, — говорит Борис. — Хотя если бы люди были внимательнее, то увидели бы, что любой лжеантивирус — это просто окно браузера, в котором картинка имитирует антивирус. Может быть, это следствие низкой компьютерной грамотности». С существованием проблемы низкой компьютерной грамотности новосибирцев ранее соглашался в беседе с корреспондентом НГС.НОВОСТИ и директор Новосибирского компьютерного сервиса Nskpc Евгений Онучин, уточнявший, что очень многие горожане лишь слышали об антивирусах, но не имеют никаких практических навыков работы с ними.
