Symantec обнаружила поддельный антивирус Windows Risk Minimizer

Корпорация Symantec обнаружила новый поддельный антивирус под названием Windows Risk Minimizer. По словам представителей компании, данная подделка рекламируется при помощи нежелательных рассылок писем электронной почты с различных популярных сервисов.

Сообщения с рекламой антивируса содержат ссылки на скомпрометированные домены, с которых пользователь попадает на сайт поддельного антивируса. В настоящее время специалисты компании обнаружили около 300 взломанных доменов, которые использовались всего несколько часов.

При открытии сайта поддельного антивируса пользователю показывается якобы системное сообщение JavaScript, в котором говорится, что компьютер пользователя заражен, и после того, как пользователь нажмет на «OK», запускается «процесс сканирования».

На странице программы представлена флеш-анимация, имитирующая реалистичные значки, панель загрузки, а также окна диалогов. Неудивительно, что поддельный антивирус выявляет множество вирусов. Проанализировав флеш-архив, специалисты установили, что в нем содержится множество дополнительных файлов. Во время воспроизведения ролик выбирает файлы случайным образом и заявляет, что они заражены (названия вирусов также выбираются наугад).

После завершения сканирования появляется сообщение службы безопасности Windows, сообщающее результаты процедуры. Данный диалог может быть перемещен по экрану, а также могут быть выбраны или исключены различные инфекции.

В случае если пользователь попробует закрыть окно, то появится предупреждение о последствиях, которые якобы могут наступить, если вирус не будет побежден, а после нажатия кнопки «Удалить все» в окне системы безопасности Windows Security, пользователю предлагается загрузить вредоносный файл, содержащий Windows Risk Minimizer. После его запуска появляется вполне профессионально выглядящее окно.

Разумеется, затем этот якобы антивирус находит новые угрозы, но после закрытия окна вредоносное программное обеспечение продолжает выводить всплывающие окна и уведомления на панели задач. Все сообщения направлены на то, чтобы убедить пользователя в наличии заражений компьютера и подтолкнуть его к приобретению бесполезной программы.

В частности, некоторые сообщение уведомляют пользователя о том, что браузер Google Chrome якобы заражен (после нажатия на кнопку «Предупредить атаку» открывается платежное окно), о нелегальном использовании BitTorrent, ссылаясь на требования SOPA (Stop Online Piracy Act). Во втором случае кнопки «Предупредить атаку» нет, но пользователю предлагается получить анонимное соединение (Get anonymous connection), для которого также открывается окно оплаты.

Еще один тип предупреждающего сообщения сообщает пользователю о попытке кражи его идентификационных данных.

Данные виды атак убеждают пользователя в серьезном заражении, поэтому несложно понять, как злоумышленникам удается обмануть множество пользователей и заставить их приобрести бесполезное ПО. При цене $99.90, включая поддержку, эта программа не является дешевой.