Итак, представьте себе, что находясь в Интернете мы щелкаем по
различным ссылкам и переходим с сайта на сайт. Ничего необычного и
страшного в этом нет – так делают все.Но вот однажды мы попадаем на сайт, где нам предлагают бесплатно
скачать программу для сканирования системы на наличие вирусов и
уязвимостей, а также для надежной защиты от всяческих Интернет-угроз.Допустим, мы соглашаемся и скачиваем предложенную программу, потому
как соблазн велик – лишний раз проверить свой компьютер на вирусы, а
тем более бесплатно.После скачивания мы естественно устанавливаем эту программу и
запускаем проверку системы. При этом мы абсолютно не замечаем никакого
подвоха, т.к. скачивается такая программа как обычно, устанавливается
как обычно, и во время сканирования всё выглядит стандартно, красиво и
солидно.Всё вроде бы хорошо, если бы не было так плохо! Эта программа
только выдает себя за надежную и эффективную, а на самом деле является
ложным антивирусом – хитроумной программой для обмана наивных
пользователей.Очень важно понимать, что попасть под такое влияние не так уж и
сложно, т.к. очень часто названия и внешний вид лже-антивирусов
совпадают с официальными лицензионными антивирусами, а некоторые из них
имеют даже свою службу поддержки, в которой оператор с помощью чата
отвечает на вопросы будущих жертв обмана.Мы думаем, что работаем с настоящим серьезным сервисом и покупаем
надежный антивирус, а на самом деле это просто клон, чаще всего
представляющий из себя троянскую программу.
Ярким примером лже-антивируса служит программа Security Essentials 2010, которая выдает себя за Microsoft Security Essentials:
Эта программа вместо обещанного поиска и устранения вирусов
контролирует запущенные процессы и пытается завершить те, которые
считает ненужными. Кроме того она может изменять реестр, контролирует
интернет-трафик, а также совершает массу других действий мешающих
нормальной работе.Точно известны и многие другие названия таких программ. Это Virus
Protector, Online Antivirus XP-Vista 2009, BugsRadar, XP Antivirus
2009, Vista Antivirus 2008, Live PC Care, Doctor Antivirus, Virus
Remover 2009, Personal Antivirus, Malware Doctor, Digital Protection,
Your Protection, Antivirus Suite, AntiVirus, User Protection, Security
Guard, Antivirus7, Smart Security, Cleanup Antivirus, Dr. Guard,
Antimalware Doctor.Список можно продолжать (по некоторым данным он уже доходит до 300
названий), и я думаю, вы понимаете, что запомнить их все просто
нереально, тем более что каждый день появляются новые названия подобных
программ. Вполне вероятно, что уже появились и русскоязычные
лже-антивирусы или онлайн-сервисы для такой лже-проверки.На самом деле все подобные программы принято называть Rogue Anti-Spyware (или rogueware) - ложное программное обеспечение. А настоящие программы-антивирусы и антишпионы чаще всего обнаруживают их под именем Trojan.Fakealert... – от англ. fake (обман):
Надо отметить, что помимо описанного способа распространения таких программ существуют также и другие.Например, тот же Security Essentials 2010 может распространяться
под видом обновления flash-проигрывателя, необходимого для просмотра
видео в Интернете.Можно также получить предложение проверить ваш компьютер на вирусы онлайн, естественно с помощью ложных онлайн-антивирусов.Кроме этого мы можем просто попасть на незнакомый сайт, который
сразу же выдаст сообщение о том, что наш компьютер заражен вирусами, и
тут же предложит скачать «самый надежный антивирус».Получить такой ложный антивирус можно не только на сайте
мошенников, но и на множестве других «партнерских» сайтах, владельцы
которых получают процент за каждого обманутого пользователя.А самое печальное, что попасть на сайт мошенников можно даже с
обычного «порядочного» сайта, если такой сайт содержит стороннюю
рекламу. Посетитель может просто щелкнуть рекламу, которая например,
гласит: «100% защита компьютера от вирусов», тут же попав с
«порядочного» сайта на сайт мошенников.Устанавливая такой лже-антивирус, мы добровольно заражаем свой
компьютер, а удалить его бывает очень сложно, т.к. обычно такие
программы защищают себя от удаления. Если мы попытаемся запустить
какую-нибудь программу, которая как-то может повлиять на работу
лже-антивируса, то сразу же получим предупреждение о том, что эта
программа заражена и поэтому будет закрыта.Удалять такие лже-антивирусы можно вручную, но для этого надо знать
его расположение, точное название и уметь работать с реестром. Можно
использовать специальные программы типа Anti-Malware
или Spyware Doctor. Можно также искать в сети специальные утилиты или
сервисы для автоматического удаления лже-антивируса с конкретным
названием.
• Подозрительно высокий исходящий трафик. Если вы пользуетесь дайлапом или ADSL-подключением и заметили необычно большое количество исходящего сетевого трафика (в частности, проявляющегося, когда ваш компьютер работает и подключен к интернету, но вы им не пользуетесь), то ваш компьютер, возможно, был взломан. Такой компьютер может использоваться для скрытой рассылки спама или для размножения сетевых червей. • Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal. Некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. Если вы заметили значительную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютера или заражения его операционной системы вредоносной программой. • Большое количество пакетов с одного и того же адреса, останавливаемые персональным межсетевым экраном. После определения цели (например, диапазона IP-адресов какой-либо компании или домашней сети) хакеры обычно запускают автоматические сканеры, пытающиеся использовать набор различных эксплойтов для проникновения в систему. Если вы запустите персональный межсетевой экран (фундаментальный инструмент в защите от хакерских атак) и заметите нехарактерно высокое количество остановленных пакетов с одного и того же адреса, то это — признак того, что ваш компьютер атакуют. Впрочем, если ваш межсетевой экран сообщает об остановке подобных пакетов, то компьютер, скорее всего, в безопасности. Однако многое зависит от того, какие запущенные сервисы открыты для доступа из интернета. Так, например, персональный межсетевой экран может и не справиться с атакой, направленной на работающий на вашем компьютере FTP-сервис. В данном случае решением проблемы является временная полная блокировка опасных пакетов до тех пор, пока не прекратятся попытки соединения. Большинство персональных межсетевых экранов обладают подобной функцией. • Постоянная антивирусная защита вашего компьютера сообщает о присутствии на компьютере троянских программ или бэкдоров, хотя в остальном все работает нормально. Хоть хакерские атаки могут быть сложными и необычными, большинство взломщиков полагается на хорошо известные троянские утилиты, позволяющие получить полный контроль над зараженным компьютером. Если ваш антивирус сообщает о поимке подобных вредоносных программ, то это может быть признаком того, что ваш компьютер открыт для несанкционированного удаленного доступа.
