Вот так выглядит типичный пример рекламы вредоносной программы |
Это можно проверить, попытавшись скачать из Сети PDF-версию любого популярного журнала, например «Мира ПК».
Поисковик выдает большой список сайтов, которые предлагают скачать данный журнал бесплатно, причем не помечает их как вредоносные. Это и понятно — предлагаемые им ссылки ведут в каталог, где пользователь якобы может выбрать нужный ему журнал. Сам сайт каталога не хранит файлы с журналами, но только ссылки на них в файл-хостингах. Однако уже здесь появляется реклама так называемых фиктивных антивирусов и других угроз, нажав на которую пользователь может попасть на вредоносный сайт. Часто она сделана в виде отдельного всплывающего окошка с картинкой, но пользователь может спутать ее с новой запущенной программой и активировать, например нажав на кнопки «отменить» или «закрыть».
«Основной заработок таких сайтов поступает преимущественно из двух источников, — считает Вячеслав Закоржевский, ведущий антивирусный эксперт «Лаборатории Касперского». — Первый источник — оплата дополнительных услуг, например, увеличение скорости скачивания. Второй — предоставление площадки сайта для тизерных сетей и партнерских программ. Иногда злоумышленники могут воспользоваться услугами тизерных сетей и распространять через них мошеннические или вредоносные файлы».
Если пользователь нажмет на "нужную" ссылку, то следующим этапом будет перенаправление на один из файл-хостингов. Хостинги эти устроены так: прежде, чем скачать собственно файл, они предлагают просмотреть минуту-другую рекламы, затем - пройти тест Тьюринга на распознавание и только потом дают доступ к нужному файлу. При этом реклама может быть достаточно агрессивной, как и на первом уровне, а тест, вполне возможно, взят с другого ресурса, где он используется для защиты от роботов. В результате, распознав кривые буковки теста, вы тем самым опубликовали, например, спам-сообщение в каком-нибудь форуме или социальной сети.
Впрочем, немалый доход подобные ресурсы получают от премиум-загрузки. Для нетерпеливых владельцы файл-хостингов предлагают такую возможность, как оплата с помощью SMS за быстрое скачивание файла. При этом на той же страничке написана и стоимость SMS — например, 350 руб. Для сравнения: стоимость бумажного номера журнала «Мир ПК» несколько ниже, а электронной версии и подавно. В результате «бесплатный сыр» может обернуться расходами в несколько раз большими. Кроме того, эти доходы владельцев сервиса могут оказаться не единственными.
«Особую опасность представляют сервисы, предлагающие клиентам оформить 'премиальную' подписку для более быстрой загрузки, — предупреждает Алексей Демин, управляющий корпоративными продажами G Data Software в России и СНГ. — Обычно она оформляется с помощью платных SMS. Злоумышленники заполучат номер вашего мобильного телефона и деньги за оформление подписки. И не исключено, что вам даже не сообщат о взимании в дальнейшем абонентской платы за пользование сервисом. Впоследствии не так легко будет найти способ отменить подписку».
Однако, по мнению Демина, и сами файловые хранилища не являются безопасными: «Стоит только предложить для скачивания некое средство для взлома любой популярной программы, как тут же выстроится очередь из желающих поживиться. Если при этом вредоносная программа 'попутной загрузки', то есть попавшая на ПК вместе с загружаемым с обменника файлом, возьмет паузу и активируется спустя время, то 'зона поражения' может быть достаточно большой». Стоит добавить: браузер при этом не показывает, что скачал не один файл, а несколько.
Признаюсь, в ходе «следственного эксперимента» мне не удалось бесплатно получить PDF-версию «Мира ПК». Когда я прошел тест Тьюринга, сервер попытался мне что-то загрузить, но очень быстро возникло сообщение об ошибке. Возможно, сработала защита на моем компьютере, а возможно, сервер и не намерен был ничего отдавать бесплатно. Впрочем, вполне аналогичной может быть и участь премиум-подписчиков. Так или иначе, версию про вредоносы, которые могут располагаться внутри PDF, я просто не смог проверить.
Тем не менее уязвимостей в различных программах для обработки данного формата обнаружено довольно много. Конечно, этот формат в Apple попросту не пускают на свои мобильные устройства, но даже на Mac OS X есть уязвимость, которая может быть использована для заражения компьютера с помощью PDF. Закоржевский, например, убежден, что скачивать файлы с таких ресурсов довольно опасно, так как вместо ожидаемого PDF-журнала или программы для снятия защиты от копирования вполне может оказаться PDF-эксплойт или банальный вредонос. В целом сейчас формат PDF считается одним из наиболее опасных. А значит, даже если любитель сэкономить пройдет весь описанный выше лабиринт из заботливо расставленных ловушек, он вполне может получить журнал с бесплатно установленным в него вредоносом.
Мы провели опрос в Facebook, задав экспертам по информационной безопасности вопрос "На чем зарабатывают владельцы файловых хостингов?» Ответы распределились следующим образом:
Ответ | Доля, % |
На заражении компьютеров посетителей | 46 |
Плата с премиум-подписки | 31 |
На рекламе | 18 |
Другое | 5 |
Источник: www.facebook.com/OSPSec, 2012.