«Web-мастера» продолжают тревожить Microsoft

Генеральный директор Group-IB Илья Сачков рассказал, что цель исследования заключалась в оценке рисков пользователя ПК в процессе поиска в Интернете, загрузки и использования контрафактного программного обеспечения. В качестве метода было выбрано моделирование типичных действий пользователя и сопровождающих их информационных процессов на примере ОС Windows 7. При этом проводился пошаговый анализ угроз, обнаруживаемых оборудованием криминалистической лаборатории Group-IB и полное документирование этого процесса.

Были проанализированы ресурсы, представленные на первых десяти страницах поисковой выдачи сервисов Yandex и Google. Аналитики начинали с поиска по стандартным запросам, например, «скачать Windows 7». После выдачи адресов, проводилась оценка опасности, как самих ресурсов, так и анализ ресурсов с дистрибутивами для загрузки. Далее проводилась регистрация мошеннической рекламы и небезопасной рекламы. Дистрибутивы подвергались исследованию антивирусными средствами до и после установки. Каждый пиратский дистрибутив исследовался на предмет угроз и рисков каждого типа модификации. Как сказано выше, все это подробно документировалось.

Результаты таковы: только в 3% случаев пользователь попадает на безопасный ресурс, где может скачать за приемлемое время (4 часа) оригинальные образы операционной системы, которые не были подвержены модификации. Еще в 5% случаев загрузка «чистого» образа потребует 14 и более часов. 4% ресурсов содержали дистрибутивы сомнительного свойства, в 5% случаев с пользователей требовали оплату без гарантии получения дистрибутива. В 40% случаев пользователь получал образ системы с ограниченной функциональностью из-за модификации системных файлов или с встроенным, потенциально вредоносным ПО других производителей. Оставшиеся 38% представляли собой предположительно вредоносный ресурс. Другими словами, риск заражения вероятен на 92%.

Исследование показало, что попытка скачивания бесплатного дистрибутива ОС Windows 7 оборачивается для пользователя многими рисками. Во-первых, от посещения вредоносных ресурсов и скачивания неизвестных файлов, во-вторых, подпасть под влияние  мошеннической и небезопасной рекламы. И, наконец, пиратские дистрибутивы могут иметь модифицированный исходный код, содержать вирусы, другие добавленные программы, в том числе взламывающие системы защиты (в том числе системы активации).

В ходе исследования поисковая выдача была проанализирована на наличие вредоносного программного обеспечения. Результаты таковы: 62% представляли собой не вредоносный ресурс, 11% ресурсов оказались неработающими, 27% - были отнесены к «предположительно вредоносным ресурсам» (в коде интернет-страниц присутствовали вставки, способные повредить ПК или похитить персональные данные).

Илья Сачков рассказал, что также был проведен анализ полученных пиратских дистрибутивов Windows 7. 16% дистрибутивов содержали «чистый» образ Windows 7, не подвергнутый модификациям, но нуждающийся в последующей активации. 42% дистрибутивов оказались модифицированными таким образом, что могли привести к неблагоприятным последствиям.

37%  обследованных дистрибутивов имели встроенный активатор, позволяющий избежать активации ОС с помощью лицензионного ключа, в 5% случаев дистрибутив содержал предустановленное стороннее ПО, которое может быть вредоносным или содержать критические уязвимости.

Что касается рекламы, то 34% сайтов содержали мошенническую рекламу, большая часть которой (73%) содержала запрос персональных данных, 10% рекламы предлагала отправить платное SMS, остальные рекламные сообщения предлагали «скачать ПО», а на самом деле пользователь скачивал вирус.

Анализировалась и сама возможность скачивания ресурса. Исследованием было выявлено, что работоспособных ссылок большинство – 72%. В 9% случаев ссылки просто нет, а в 19% случаев ссылка была «фейковая», то есть, вела на сторонние ресурсы, начинала загружать видеоконтент и прочее.

Искомый файл можно было обнаружить в 62% случаев, какой-то другой файл – в 8% ссылок. Также в 8% случаев требовалось оплатить скачивание, 15% ссылок для того, чтобы найти искомый файл требовали от пользователя дополнительных действий. Остальные 7% представляли собой сомнительную раздачу, то есть, файл содержал подозрительные признаки и был не рекомендован к скачиванию модераторами ресурса, на котором он размещается.

Основной итог исследования таков: при поиске пиратского контента в Интернете опасен и процесс поиска и его результат. Сами ресурсы опасны потому, что цель создания большинства из них – монетизация любым способом. Не оправдывая хакерство, заметим, что ситуация в стране такова, что заработать мошенническим путем оказывается легче, чем разрабатывая и предлагая легальный софт. Надо сказать, что зарабатывают таким способом суммы,  исчисляемые миллионами рублей. В результате количество зараженных компьютеров в России достигает 80%.

В основном, распространением пиратских копий занимаются так называемые web-мастера.  Илья Сачков полагает, что их в России несколько небольших групп, общее число которых - не более ста человек. Кроме этого есть люди, исповедующие идею, что всякое программное обеспечение должно распространяться бесплатно, и размещающие в сети дистрибутивы различного ПО.

Директор Некоммерческого партнерства «Поставщиков программных продуктов» Дмитрий Соколов полагает, что «специалистам давно стало понятно, что преступники научились виртуозно использовать страсть многих пользователей «скачать на халяву». Тем не менее, спор о том, сколько должен стоить лицензионный софт, не окончен.