Специалисты «Лаборатории Касперского» обнаружили фальшивый антивирус, распространяемый посредством рекламы в ICQ.

   Сомнительное объявление, появляющееся в рекламном окне ICQ, сопровождается сообщением об обнаружении на компьютере пользователя вредоносного программного обеспечения и предложением загрузить антивирус под названием Antivirus 8 (cкриншот любезно предоставлен «Лабораторией Касперского»).

   Одним из сотрудников «Лаборатории Касперского» были зафиксированы случаи появления антивирусной программы-фальшивки, распространяемой посредством рекламы в ICQ – сервисе мгновенных сообщений, который пользуется популярностью в России и странах Восточной Европы.

   По словам Роэля Шоувенберга (Roel Schouwenberg), старшего аналитика московской компании «Лаборатория Касперского», объявление, появившееся в рекламном окне ICQ, содержало информацию о компании Charlotte Russe, предлагающей одежду для женщин. Кликнув мышкой по объявлению, пользователь попадает на официальный сайт компании.

    Представителям компании CNET господин Шоувенберг рассказал: почти одновременно с этим объявлением появилось другое сообщение с надписью “Antivirus 8”, информировавшее пользователя о том, что на компьютере была обнаружена подозрительная активность, и предлагавшее скачать данное программное обеспечение, которое в действительности не является легальным антивирусным программным продуктом.

   Данный случай представляет особый интерес сразу по нескольким причинам. Предложение о загрузке антивируса-фальшивки появляется без каких-либо действий со стороны пользователя, которые обычно необходимы в подобных ситуациях (например, кликание мышкой по соответствующей ссылке в результатах поиска). Шоуаенберг добавил, что данная атака, по-видимому, не подразумевает использование вредоносного кода, эксплуатирующего уязвимости программных компонентов компьютера; в этом случае ставка делается на социально-технический аспект, когда пользователя побуждают скачать якобы антивирусное программное обеспечение, которое на самом деле является совершенно бесполезным.

   Кроме того, картинка с объявлением, вместе с которым «всплывает» сообщение о фальшивом антивирусе, хранится на сервере, который, по всей видимости, никак не связан с розничным магазином женской одежды. По словам Шоуаенберга, «это свидетельствует о том, что кто-то прилагает немалые усилия, выдавая себя за упомянутую выше компанию с целью использовать рекламный сервер yieldmanager для публикации своих объявлений.

    «Эти люди немало постарались для того, чтобы придать своему «проекту» видимость законности», – сказал он. Успешная попытка атаки на yieldmanager с целью обеспечения возможности загрузки поддельного антивируса посредством рекламных объявлений в ICQ сама по себе является задачей трудновыполнимой и свидетельствует о высоком мастерстве «умельцев».

   Шоуаенберг высказал предположение о том, что к совершению данного деяния могут быть причастны две группы мошенников, одна из которых отвечает за создание самого вредоносного ПО, а другая – за его распространение с помощью рекламных объявлений в ICQ.

   Специалисты «Лаборатории Касперского» направили сообщение с описанием данной проблемы в адрес yieldmanager, которым владеет компания Yahoo. На электронное письмо с просьбой прокомментировать сложившуюся ситуацию, направленное представителями CNET, от компании Right Media, управляющей работой yieldmanager, не было получено официального ответа.