Одним из источников дохода для авторов троянов, вирусов, спайваре и тд, является распространение поддельных антиспайваре программ, так называемых rogue antispyware. После установки такой программы на зараженный компьютер, эта программа осуществляет сканирование и «вроде бы» что-то находит, а для удаления найденного требует заплатить определенную сумму денег, купив лицензию. Делать этого не следует, так как эта программа, всего лишь подделка, найти ничего она ничего не может (не обращайте внимание на найденные ею спайваре, трояны и тд, это подделка), и конечно же ни от чего она не лечит.
Будьте бдительны, бывают случаи когда эти программы распространяются не через вирусы, а через различную навязчивую рекламу или специально сделанные вебсайты.
Рассмотрим несколько этих программ, появившихся в последнее время.
Malware Bell
Эта программа является новой версией IE Defender.
Создатели сменили цвета, немного изменили вид главного окна и вуаля – новый антиспайварный продукт. Этот случай не уникальный, а происходит после того, как поддельное антиспайваре стали обнаруживать антивирусы, меняется немного код программы, цвет и тексты главного окна, возможны другие косметические изменения, а всё для того чтобы антивирусы не определяли инсталлятор и другие файлы этой программы как опасные и вредные.
Если просканировать инсталлятор MalwareBell используя VirusTotal, то получим:
AntiVir 7.8.0.10 2008.04.25 DR/FraudTool.MalwareBell.F
DrWeb 4.44.0.09170 2008.04.26 Trojan.Fakealert.525
Fortinet 3.14.0.0 2008.04.26 Misc/MalwareBell
Ikarus T3.1.1.26 2008.04.26 Downloader.FraudTool.MalwareBell.F
Kaspersky 7.0.0.125 2008.04.26 not-a-virus:FraudTool.Win32.MalwareBell.f
NOD32v2 3057 2008.04.26 Win32/Adware.IeDefender.NDG
Prevx1 V2 2008.04.26 Generic.Malware
Sophos 4.28.0 2008.04.26 Troj/FakeVir-AY
Symantec 10 2008.04.26 MalwareBell
Webwasher-Gateway 6.6.2 2008.04.26 Trojan.Dropper.FraudTool.MalwareBell.F
Кроме всего прочего MalwareBell показывает окна с сообщением:
Your system is infected with dangerous virus!
Note: Strongly recommend to install antispyware program to clean your system and
avoid total crash of your computer!
IE Antivirus
Выглядит подобно IE Defender, Files Secure и рассмотренному выше Malware Bell.
Если просканировать инсталлятор IE Antivirus используя VirusTotal, то получим:
AntiVir 7.8.0.10 2008.04.25 DR/FraudTool.IeDefender.CJ
Fortinet 3.14.0.0 2008.04.26 Misc/IeDefender
Ikarus T3.1.1.26 2008.04.26 Downloader.FraudTool.IeDefender.CJ
Kaspersky 7.0.0.125 2008.04.26 not-a-virus:FraudTool.Win32.IeDefender.cj
Symantec 10 2008.04.26 MalwareBell
Webwasher-Gateway 6.6.2 2008.04.26 Trojan.Dropper.FraudTool.IeDefender.CJ
Адреса домашних страниц для рассмотренных выше программ:
Site Name: MalwareBellAgreement.com
Site Name: IEAntiAVDownload.com
IP Address: 89.149.227.195
Примеры URL’ов:
malwarebellagreement(dot)com/mb.exe
malwarebellagreement(dot)com/ieav.exe
ieantiavdownload(dot)com/ieav.exe
ieantiavdownload(dot)com/mb.exe
AntiSpywareMaster
Выглядит подобно AntiSpywareExpert, AntispywareDeluxe.
Hijackthis показывает наличие AntiSpywareMaster:
O4 — HKLM\..\Run: [AntiSpywareMaster] C:\Program Files\AntiSpywareMaster\asm.exe
RegistryGreat
Hijackthis показывает наличие RegistryGreat:
O4 — HKLM\..\Run: [RegistryGreat] C:\Program Files\RegistryGreat\RegistryGreat.exe
XPSecurityCenter
Hijackthis показывает наличие XPSecurityCenter:
O4 — HKLM\..\Run: [XP SecurityCenter] C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe /hide
AdvancedXPFixer
Эта программа похожа на WinIFixer.
Hijackthis показывает наличие AdvancedXPFixer:
O4 — HKLM\..\Run: [AXPFixer] C:\Program Files\AXPFixer\AXPFixer.exe
DisableSpyware
Zinaps
Hijackthis показывает наличие Zinaps:
O4 — HKCU\..\Run: [Zinaps7] C:\Documents and Settings\Administrator\Application Data\Zinaps7\Zinaps7.exe /MIN
Как удалить с компьютера рассмотренные выше программы:
Нужно учитывать, что эти программы могут установлены различными вирусами, троянами и спайваре. Поэтому просто удалив их с диска, в большинстве случаев, вы ничего не добьетесь, через некоторое время они появятся снова.
Что можно сделать:
1.Открываете контрольную панель, в ней панель добавления и удаления программ, в списке ищете программу, которую вам нужно удалить, и запускаете процедуру удаления.
2.Как я уже написал выше, в большинстве случаев первый пункт может не помочь, поэтому скачайте бесплатную программу SmitfraudFix и запустите её.
3.Еще что можно сделать – это попробовать другие бесплатные антиспайварные программы.
4.Если пункты 1-3 не помогают, то сделайте HijackThis лог и обратитесь за помощью на антиспайварный форум.
Прочитать больше о поддельных антиспайварных программах и как их удалить. (Eng)
Как удалить эту проклятую заразу??????????????
Smitfraudfix и анологичные проги не помогают… Я всё перепробовал..
Как же удалить ее?????????????
Можно попробовать вручную очистить ваш компьютер. Создайте новый топик на нашем антиспайварном форуме.
Лучшего чистильщика чем Spy Emergency 2008 не могу посоветовать,
даже рекламируемый здесь бесплатный combofix решил установить свой невидимый сервер!
Только благодаря установленной защите + Spy Emergency 2008 или даже 2006, не страшна зараза, а еще могу от себя посоветовать http://www.sanboxie.com или по русски песочница! Пробовал заразить совершенно чистую операционку под виртуальной машиной описанным в статье
combofix при первом запуске устанавливает сервис catchme (часть известного антируткита gmer) необходимый для поиска руткитов.
По поводу антиспайварных программ, скажу одно, на вкус и цвет, друзей нет 🙂
главное результат.
Sanboxie давно известный проэкт, но то что он ограничивает запись, на диск для защиты компьютера, ограничивает его использование.
Да у меня был этот вирус. И я естественно не подозревала вообще ничего! Думала «Надож, у виндоус есть свой собственный антивирь, и почему он раньше не чистил мой комп» но вот странно, месте с этим «бонусом» у меня пропала закладка в рабочем столе «заставка» и что-то еще,вечно выскакивало сообщение о том что комп обезврежен, потом начиналась якобы «проверка» но заканчивалось все ошибкой, пзатем в инете прочитала оказывается это вирус..в шоке конкретном конечно. Еле удалила. Купила антивирус нод32-чето глюконул он у меня. Загрузила утилиту доктор веб- как только находил 3 трояна-вырубался комп. Касперский с сайта пробный загрузила тоже не справился. Ну я подумала что все-нужно переустанавливать винду, но вот нашла этот сайт и скачала «Malwarebytes’ Anti-Malware» он все удалил и нашел аж 300 вирусов.
Жесть канешн(((потом прошлась еще раз утилитой доктора веба, и еще чем-то.Но зато теперь все нормально!
Спасибо добрые люди!!!!За сайт и полезные штучки)
а конкретна какой антивирус лучше?а какой на оборот?(я не про вирусы)