Remove ads
Из Википедии, свободной энциклопедии
Лже́антиви́рус (псе́вдоантиви́рус, FakeAV) — компьютерная программа, которая имитирует удаление вредоносного программного обеспечения или сначала заражает, потом удаляет[1]. К концу 2000-х годов значимость лжеантивирусов как угрозы персональным компьютерам повысилась[2], понизившись в июне 2011 года[3]. В первую очередь появление лжеантивирусов связано с тем, что в США частично взяли под контроль индустрию spyware и adware[4], а UAC и антивирусы оставляют всё меньше шансов ПО, проникающему без ведома пользователя. Во-вторых, полноценных антивирусных программ стало настолько много, что сложно запомнить их все. Так, VirusTotal на 17 января 2021 года располагает 70 антивирусами[5].
Лжеантивирусы относятся к категории троянских программ[6], то есть пользователь сам проводит их через системы безопасности ОС и антивирусов. В отличие от «нигерийских писем» (которые играют на алчности и сострадании), фишинга и ложных лотерейных выигрышей, лжеантивирусы играют на страхе заражения системы[7]. Встречаясь чаще всего под видом всплывающих окон веб-браузера, они якобы сканируют операционную систему пользователя и тут же выявляют в ней вирусы и другие вредоносные программы[2]. Для наибольшей достоверности этот процесс также может сопровождаться внедрением одной или нескольких программ такого типа в систему путём обхода конфигурации[6], особенно если компьютер обладает минимальной и легкообходимой защитой. В итоге компьютер-жертва начинает выдавать сообщения о невозможности продолжения работы ввиду заражения, а лжеантивирус — упорно предлагать купить услугу или же разблокировать её, введя данные кредитной карты[8].
Самые первые лжеантивирусы возникли с развитием интернета и представляли собой лишь окна, имитирующие ОС (чаще всего — проводник Windows и рабочий стол интерфейса Windows XP) с присущими звуками при загрузке и нажатии кнопок. Такие окна легко убирались блокировщиками рекламы, например, Adblock Plus. Во второй половине 2000-х годов лжеантивирусы превратились в полноценные программы и стали выдавать себя за настоящие антивирусы при помощи использования агрессивной рекламы, ложных пользовательских отзывов или даже «отравления» поисковых результатов при вводе ключевых слов (в том числе по темам, не связанным с компьютерной безопасностью)[9][10][11]. Такие программы задумывались с названиями, похожими на названия настоящих антивирусов (например, Security Essentials 2010 вместо «Microsoft Security Essentials» или AntiVirus XP 2008 вместо «Norton AntiVirus») и работали по принципу прямого отправления денег распространителям — партнёрским сетям за каждую удачную инсталляцию[12].
В конце 2008 года обнаружено, что партнёрская сеть, распространявшая Antivirus XP 2008, получила за свою работу около 150 тыс. $[13]. В 2010 году Google пришёл к заключению, что половина вредоносного ПО, проникающего через рекламу, — лжеантивирусы[14]. В 2011 тот же Google исключил из поиска домен co.cc
, дешёвый хостинг[15], на которых размещались в том числе и распространители псевдоантивирусов.
Распространитель может получать прибыль от лжеантивируса разными путями.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.