В прежние времена программное обеспечение такого рода довольствовалось тем, что изображало предупреждения Internet Explorer и делало вид, что запускает проверку диска в Проводнике Windows. В альтернативных обозревателях это смотрелось несколько забавно и не имело должного эффекта; осознав проблему, злоумышленники внесли кое-какие коррективы.
Теперь внешний вид онлайн-"антивируса" зависит от того, каким браузером пользуется посетитель нежелательного ресурса. Новое веяние обнаружил исследователь из компании Zscaler Жюльен Собрие; выявленное им ложное защитное программное обеспечение умеет различать IE, Firefox, Chrome и Safari. Пользователи продукта от Microsoft ничего нового не увидят - им покажут все то же "предупреждение" в стиле Windows 7, - но вот что отобразится, к примеру, в обозревателе от Mozilla:
Всякий, кто знаком с работой внутреннего фильтра Firefox, без труда опознает в этом изображении классические элементы оформления, которые характерны для выдаваемых этим браузером уведомлений об опасности. Соответственно, неискушенному пользователю, для которого графика важнее текста, будет легко поверить в истинность этого "информационного окна".
Если же посетитель работает через Google Chrome, то сначала он увидит небольшое диалоговое окно с текстом "Система безопасности Chrome обнаружила критическую активность процессов в вашей системе и осуществит быстрое сканирование системных файлов", а затем ему будет продемонстрирована следующая страница "сканирования":
Что касается Safari, то здесь злоумышленники немного недоработали: первичное предупреждение тоже особенное и даже имеет логотип обозревателя, но последующее окно лжеантивирусного исследования такое же, как и в случае Internet Explorer.
Со страницы "сканера" загружается исполняемый файл с именем вида InstallInternetDefender_xxx.exe (xxx - три произвольные цифры). Проверка этого образца настоящими антивирусами не дала заметного результата: было получено лишь несколько эвристических вердиктов от не самых известных защитных решений.
Подводя итог, остается лишь заключить, что отказ от использования Internet Explorer постепенно перестает быть основным средством защиты от онлайн-угроз: альтернативные обозреватели становятся популярны, а, следовательно, возрастает и интерес к ним со стороны вирусописателей и прочих киберпреступников.
Zscaler Research blog
