Поддельный антивирус Windows Risk Minimizer

Корпорация Symantec сообщила об обнаружении поддельного антивируса, который рекламируется в спам-рассылках электронной почты с популярных сервисов. Сообщения с рекламой антивируса Windows Risk Minimizer содержали ссылки на скомпрометированные домены, с которых пользователь перенаправлялся на сайт поддельного антивируса. Специалисты Symantec обнаружили 300 взломанных доменов, которые использовались всего несколько часов.

При открытии сайта поддельного антивируса пользователю показывается якобы системное сообщение JavaScript, в котором говорится, что компьютер пользователя заражен. После того, как пользователь кликает на «OK», запускается «процесс сканирования». На странице программы представлена флэш-анимация, имитирующая реалистичные значки, панель загрузки, окна диалогов. Распаковка флэш-архива и его анализ показали, что в нем содержится множество дополнительных файлов. Во время воспроизведения ролик выбирает файлы случайным образом и заявляет, что они заражены (названия вирусов также выбираются наугад).

После завершения сканирования появляется сообщение службы безопасности Windows о результатах процедуры. Данный диалог может быть перемещен по экрану, а также могут быть выбраны или исключены различные инфекции. Когда пользователь пытается закрыть окно, появляется предупреждение о последствиях, которые якобы могут наступить, если вирус не будет побежден. После нажатия кнопки «Удалить все» в окне системы безопасности Windows Security пользователю предлагается загрузить вредоносный файл, содержащий Windows Risk Minimizer. После его запуска появляется вполне профессионально выглядящее окно.

Однако и после закрытия окна вредоносное ПО продолжает выводить всплывающие окна и уведомления на панели задач. Все сообщения направлены на то, чтобы убедить пользователя в наличии заражений компьютера и подтолкнуть его к приобретению программы. Например, сообщение дает пользователю ложные сведения о том, что браузер Google Chrome заражен. После нажатия на кнопку «Предупредить атаку» открывается платежное окно. Другое сообщение заявляет о нелегальном использовании BitTorrent, ссылаясь на требования SOPA (Stop Online Piracy Act). В этом случае кнопка «Предупредить атаку» отсутствует, но вместо нее пользователю предлагается получить анонимное соединение (Get anonymous connection), для которого также открывается окно оплаты. Еще один тип предупреждающего сообщения сообщает пользователю о попытке кражи его идентификационных данных.

Подобные виды атак убеждают пользователя в серьезном заражении, поэтому понятно, как злоумышленникам удается обмануть множество пользователей и заставить их приобрести бесполезное ПО, цена которго составляет 99.90 долл., включая поддержку.