В последние несколько дней мы получили многочисленные сообщения о
заражении компьютеров пользователей фальшивым антивирусом Antivirus 8.
Диалоговое окно установки фальшивого антивируса
Интересно, что всплывающие окна фальшивого антивируса появлялись,
когда компьютер не использовался активно. Мы обнаружили, что это
происходило в тот момент, когда программа ICQ получала и отображала
новые рекламные сообщения.
Установив ICQ, я дал программе поработать пару минут, чтобы получить рекламу, и обнаружил следующее:
Эта страница размещена на сервере […]charlotterusse.eu.
Поскольку страница содержит iframe, можно предположить, что рекламный
сервер магазина (Charlotte Russe – сеть магазинов одежды) был взломан,
не так ли? А вот и нет: я выяснил, что кроме charlotterusse.com, ни один
из серверов, адреса которых содержатся на этой странице, не имеет
отношения к данному бренду одежды.
Это значит, что кто-то не поленился создать видимость действующего
магазина, чтобы система распространения рекламы не заблокировала
размещение рекламы, поскольку подобные системы отсеивают очевидно
мошеннические заявки.
Однако самое интересное в данном случае то, что злоумышленники, чтобы
отвести от себя подозрения в распространении вредоносного ПО, создали
видимость того, что их сервер был взломан: «Мы тут ни при чем, просто
кто-то взломал наш сервер». Скорее всего, распространитель рекламы на
этот раз ограничится предупреждением, так что у мошенников будет по
крайней мере еще один шанс заразить компьютеры пользователей.
Перед нами очередной пример того, что атаки могут проводиться с
использованием доверенных программ. Вывод — защита от вредоносных
программ необходима всегда.
Мы сообщили распространителю рекламы (yieldmanager) о происходящем. На момент написания этого текста ответ нами получен не был.
