То ли вирус, то ли не вирус...

Оригинальный вирус придумали недавно украинские хакеры: поначалу он выглядит и ведет себя как самый натуральный антивирус, так что пользователь даже приблизительно не представляет, каких троянов он себе накачал.

В конце лета в блогах и форумах международной сети стали появляться многочисленные призывы посетить сайты типа Google-homepage.google-us.info, Msn-us.info, Yahoo-us.info и тому подобные. Домены были зарегистрированы на Украине. Пользователь, кликающий на эти ссылки, моментально перебрасывался на сайт Virus-securityscanner.com.

Как только это происходило, на мониторе возникало окно с предупреждением, что на компьютере найдены вирусы, и далее предлагалось установить антивирус XP Antivirus 2008, чтобы излечиться. Многие отмечают, что внешне это выглядит примерно как рекламная кампания Microsoft, которая продвигает онлайновый сканнер LiveOneCare. На самом деле в скачиваемом файле содержится загрузчик трояна Trojan-Downloader.Win32.FraudLoad.gen.

Нечто подобное изобреталось и прежде, однако обычно мошенники ограничивались кражей персональных данных либо установкой робота для удаленного управления компьютером, например, использования его в DdoS-атаках. В данном же случае мы имеем дело с вполне полноценным вирусом: после установки он начинает пугать пользователя «найденными» вирусами, изображает их ликвидацию, а заодно напоминает, что надо зарегистрироваться и заплатить за полученный софт около пятидесяти долларов плюс дополнительные услуги. Для оплаты также создан ряд поддельных сайтов.

Дополнительную опасность вирусу придает еще и то, что он инсталлируется в виде очень правдоподобной версии новой антивирусной программы: дает ссылку на свой «официальный сайт», где имеются «руководства пользователя» и «форум техподдержки» (на самом деле это портал Хpantivirus.com, зарегистрированный на одного из жителей Одессы), предлагает ознакомиться с лицензионным соглашением и только затем создает поддельный Windows Security Center. Причем настоящий антивирусник Microsoft Malicious Software Removal Tool не воспринимает свою подделку как вредоносную.

«В Интернете попадается множество уловок: от стандартных заманивающих баннеров до функциональных приложений, за которыми скрывается не такая уж и безобидная деятельность, – отмечает инженер-программист интернет-агентства Dextra Александр Миленко. – Например, одно время по вебу распространялась программа nod login, которая позволяла легально обновляться с офф-серверов компании Eset, однако одновременно с этим выступала в качестве трояна, ворующего персональные данные. Вопрос в том, насколько пользователь доверяет той или иной компании, даже не подозревая, что ее имидж может быть использован злоумышленниками. Все зависит от бдительности, внимательности и осведомленности юзеров».

«Это не первая вирусная атака такого рода, и то, что домен Хpantivirus.com зарегистрирован на жителя Одессы, ни о чем не говорит: при регистрации в сервисе whois можно указывать любые данные, – комментирует руководитель технического отдела комании «БИСС-Челябинск» Иван Петров. – Я специально позвонил в RU-CENTRЕ, крупнейшему регистратору доменов в России, и спросил, как они проверяют паспортные данные тех, кто регистрирует домены второго уровня в зоне .com. Оказывается, никак, так что данные одессита, скорее всего, «левые». Пользователям Интеренета нужно соблюдать простые правила: не ходить по подозрительным сайтам, не скачивать и уж тем более не устанавливать оттуда ПО».