Псевдо-антивирус ByteDefender
Специалисты BitDefender обнаружили новую разновидность недобросовестного ПО, которое маскируется под продукты компании. Поддельный антивирусный пакет ByteDefender — названный так специально, чтобы запутать пользователя, — рассчитан на вымогательство денег у пользователей.
Существенно, что этот экземпляр вредоносного ПО для проникновения на компьютер-жертву использует маскировку не под прикладную программу, а под популярный антивирусный пакет. Сайт, с которого он распространяется, и даже фотографии якобы коробок очень похожи на дизайн BitDefender, так что различить легитимный и вредоносный продукт чрезвычайно сложно. Этот прием оказался настолько эффективен, что многие пользователи самостоятельно скачивают и запускают вирус.
Сценарий заражения прост, но эффективен: адрес сайта подобран с учетом того, что пользователь, желающий попасть на сайт BitDefender, может легко набрать ByteDefender в результате опечатки или ошибки. А попав на практически идентичную страницу, загрузить и установить вирус вместо антивируса. Через некоторое время после установки программа начинает выдавать фальшивые предупреждения о заражении, за которыми следуют предложения купить «полную» версию, чтобы эти «заражения» удалить.
Примечателен тот факт, что в качестве процессинговой компании для платежей злоумышленники выбрали вполне известную и благонадежную компанию Plimus, которая на данный момент заблокировала проведение транзакций.
С технической точки зрения псевдо-антивирус защищен модифицированным UPX-упаковщиком с многочисленными уровнями маскировки, которые не только затрудняют статистический анализ, но и не позволяют запустить программу в виртуальной среде. Сам псевдо-антивирус безуспешно пытается остановить некоторые Windows-процессы, принадлежащие известным антивирусам, чтобы открыть своим файлам путь в систему.
Компания BitDefender в числе прочих мер защиты выпустила бесплатную утилиту для удаления вируса с уже зараженных компьютеров, на которых не установлены ее продукты.