Псевдо-антивирус маскируется под BitDefender

Специалисты BitDefender обнаружили новую разновидность недобросовестного программного обеспечения, которое маскируется под продукты компании. ByteDefender, названный так специально, чтобы запутать пользователя, представляет собой поддельный антивирусный пакет, рассчитанный на вымогательство денег у пользователей.

В данном экземпляре вредоносного ПО примечательно прежде всего то, что для проникновения на компьютер-жертву используется маскировка не под прикладную программу, а под популярный антивирусный пакет. Веб-сайт, с которого распространяется «самозванец», расположенный по адресу hxxp://www.bytedefender.in (адрес намеренно изменен, чтобы исключить случайный переход и заражение) и даже фотографии несуществующих коробок выполнены настолько похоже на дизайн BitDefender, что различить легитимный и вредоносный продукт чрезвычайно сложно. Этот прием настолько эффективен, что многие пользователи самостоятельно скачивают и запускают вирус.

Сценарий заражения прост, но эффективен: адрес сайта подобран так, что пользователь, желающий попасть на сайт BitDefender, может чрезвычайно легко набрать ByteDefender в результате опечатки или ошибки. А попав на практически идентичную страницу, загрузить и установить вирус вместо антивируса.

Через некоторое время после установки программа начинает выдавать фальшивые предупреждения о заражении, за которыми следуют предложения купить «полную» версию, чтобы эти «заражения» удалить.

В процессе сканирования “обнаружены заражения”
В процессе сканирования “обнаружены заражения”

bd-infect

sshot-211

Примечателен и тот факт, что в качестве процессинговой компании для платежей злоумышленники выбрали вполне известную и благонадежную компанию Plimus, которая на данный момент заблокировала проведение транзакций.

“Фантазия кибер-преступников становится поистине безграничной, когда речь заходит о способах распространения их «продуктов». Выдуманные или реальные сенсации, зараженные приложения и сайты, чрезвычайно эффектные по виду, но абсолютно бесполезные псевдо-антивирусные решения – это лишь несколько из множества способов заработать на невнимательности пользователей”, — говорит Кэтэлин Кошой, ведущий исследователь BitDefender.

С технической точки зрения псевдо-антивирус защищен модифицированным UPX-упаковщиком с многочисленными уровнями маскировки, которые не только затрудняют статистический анализ, но также не позволяют запустить программу в виртуальной среде. Сам псевдо-антивирус безуспешно пытается остановить некоторые Windows-процессы, принадлежащие известным антивирусам, чтобы открыть своим файлам путь в систему.

BitDefender уже добавил защиту от данной угрозы (определяется как Trojan.FakeAV.KZO) в свои продукты и выпустил бесплатную утилиту для удаления вируса с уже зараженных компьютеров, на которых не установлены решения BitDefender.

Для поддержания безопасности вашей системы и данных BitDefender рекомендует устанавливать и постоянно обновлять полный пакет антивирусного ПО, включающий антивирус, антиспам, антифишинг и брандмауэр. Кроме того категорически не рекомендуется открывать файлы, полученные от неизвестных вам людей.

-->