Известная своими разработками в области антивирусного ПО корпорация Symantec сообщила об обнаружении в сети лжеантивируса Windows Risk Minimizer.
Реклама лжеантивируса осуществляется рассылкой электронных писем с различных популярных порталов. Ссылки в таких письмах перенаправляли пользователей на различные скомпрометированные либо взломанные домены, а оттуда на сайт лжеантивируса. По оценкам специалистов Symantec за пару часов были выявлены около трех сотен взломанных сайтов.
Как только пользователь попадал на сайт лжеантивируса, на экране появлялось очень похожее на системное JavaScript сообщение, о том, что компьютер заражен. После клика по кнопке «ОК» якобы начиналось сканирование компьютера.
Страница программы представляет собой весьма качественную флеш-анимацию, с довольно реалистичными значками, окнами диалогов, панелью загрузки. Во время «сканирования» лжеантивирус выявляет многочисленные инфицированные файлы, что впрочем, и неудивительно, во время проверки флеш-архива в нем было обнаружено немало различных файлов. Именно из них во время «сканирования» случайным образом выбираются «инфицированные» файлы, при этом названия вируса, которым они «заражены» также выбираются случайно.
После окончания «сканирования» на экран выводится сообщение с результатами сканирования, при этом диалоговое окно можно перемещать по экрану, выделять или исключать из списка различные пункты.
После того, как доверчивый пользователь попытается закрыть диалоговое окно, появляется сообщение, описывающее все последствия, которые будут иметь место, если вирусы не удалить. Если же пользователь выбирает кнопку «Удалить все» ему будет предложено загрузить антивирусную программу Windows Risk Minimizer, представляющую собой по сути ту же вредоносную программу.
Запуск этой программы на компьютере приводит к тому, что она начинает находить все новые и новые «зараженные» файлы. Даже после закрытия окна лжеантивируса она продолжает свою работу в фоновом режиме, в результате чего на панели задач то и дело появляются сообщения о выявленных угрозах. Все действия этой программы направлены на формирование у пользователя убежденности, что его компьютер заражен, и ему необходимо приобрести «антивирус».
В одном из сообщений появляется информация о том, что Google Chrome инфицирован, при нажатии на кнопку «Предупредить атаку» появляется окно для совершения платежей.
В другом сообщении дается информация о незаконном использовании BitTorrent, со ссылками на SOPA, вместо кнопки «Предупредить атаку», появляется сообщение о получении анонимного соединения, после клика, по которому, появляется то же самое окно для оплаты.
В следующем сообщении программа предупреждает пользователя о попытке завладения его личными данными. Такое сообщение убедит практически любого неискушенного пользователя в том , что компьютер заражен. Именно этого и добиваются злоумышленники, ведь такой пользователь является для них идеальным клиентом, готовым выложить почти сотню долларов за бесполезную программу.
