Эксперты «Лаборатории Касперского» в последние несколько дней получили многочисленные сообщения о заражении компьютеров пользователей фальшивым антивирусом Antivirus 8. Интересно, что всплывающие окна фальшивого антивируса появлялись, когда компьютер не использовался активно. Эксперты обнаружили, что это происходило в тот момент, когда программа ICQ получала и отображала новые рекламные сообщения.
Диалоговое окно установки фальшивого антивируса
В ходе расследования, была установлена ICQ, программе дали поработать пару минут, чтобы получить рекламу, и обнаружили следующее:
Обнаруженная страница
Эта страница размещена на сервере […]charlotterusse.eu. Поскольку страница содержит iframe, можно предположить, что рекламный сервер магазина (Charlotte Russe – сеть магазинов одежды) был взломан. Однако это не так. Кроме charlotterusse.com, ни один из серверов, адреса которых содержатся на этой странице, не имеет отношения к данному бренду одежды.
Это значит, что кто-то создал видимость действующего магазина, чтобы система распространения рекламы не заблокировала размещение рекламы, поскольку подобные системы отсеивают очевидно мошеннические заявки. Однако самое интересное в данном случае то, что злоумышленники, чтобы отвести от себя подозрения в распространении вредоносного ПО, создали видимость того, что их сервер был взломан. Скорее всего, распространитель рекламы на этот раз ограничится предупреждением, так что у мошенников будет по крайней мере еще один шанс заразить компьютеры пользователей.
Источник новости: Лаборатория Касперского