Что такое поддельный установщик и как его вовремя обнаружить

Christopher Budd, 30 июня 2021 г. 18:30:37 CEST
Christopher Budd, 30 июня 2021 г. 18:30:37 CEST

Вам предлагают бесплатно скачать программу, которая является платной? Это должно вызывать подозрение.

Сталкивались ли вы с ситуацией, когда после загрузки программы она оказывалась совсем не тем, за что себя выдавала? И как в этом случае реагировал на эту загрузку ваш антивирус?

Речь идет о поддельных установщиках — программах, которые выдают себя за популярные игры и приложения. Столкнувшись с поддельным установочным файлом, вы можете получить вредоносные и нежелательные программы вместо того, что действительно хотели установить. Это несет выгоду разработчикам таких установщиков.

Ниже мы расскажем, как опознать поддельные установщики и избежать связанных с ними проблем. 

Попробуем пройти весь процесс на примере игры, которая продается в известном магазин за 699 рублей (цена актуальна на момент публикации).

А ниже — скриншот с пиратского сайта, где эту игру можно скачать бесплатно.

Это первый признак, указывающий на наличие проблем на портале для загрузки файлов. У вас должно вызвать подозрение, если программа, которая стоит денег, доступна на другом портале бесплатно.

В нашем примере при нажатии кнопки «Скачать» открывается страница загрузки, похожая на показанную ниже. На ней можно «бесплатно» скачать игру.

Мы подошли к еще одному признаку, по которому можно определить подделку. В левом нижнем углу скриншота видно имя скачанного файла. Обратите внимание на странную числовую комбинацию в конце.

Крайне маловероятно, что добропорядочные игры или программы будут использовать файлы с подобными названиями, в которых присутствуют не относящиеся к названия числа и прочие символы.

Мы просмотрели имена других файлов на этом сайте и они тоже состояли из чисел, которые не относятся к названию настоящей программы. 

С помощью специального инструмента мы проверили реальное содержимое файлов и обнаружили, что они идентичны. Этот инструмент генерирует «хэш» — своеобразный цифровой отпечаток файла. У всех этих файлов он оказался одинаков.

Файлы, выдаваемые за нужную вам игру, в действительности представляют собой лишь небольшую часть установщика. После запуска такой файл выполняет несколько действий.

  1. Обращается к имени файла, например DeathSpank_03761.exe.

  2. Извлекает стоящее в конце число (03761) и отправляет его на сервер вместе с определенными данными о компьютере.

  3. Сервер ищет это число в своей базе данных и в ответ отправляет вам ссылку для скачивания, а также запрос на установку дополнительного программного обеспечения.

  4. Установщик различными способами убеждает вас установить дополнительное программное обеспечение (о планируемой установке которого вы не знали). 

  5. В итоге установщик лишь показывает ссылку на сомнительный сайт, так и не установив интересующую вас программу.

Ниже показано, что будет отображаться на вашем экране в процессе работы такого файла.

Шаг 1. Установщик запускается. Отображается абстрактное сообщение без конкретного названия игры (помним что установщик — один). Обратите внимание: сайт, с которого мы скачали «игру» был на испанском языке, а установщик — на английском. Несовпадение языка установщика с языком страницы — еще один подозрительный признак.

Для сравнения, вот как выглядит оригинальный установщик купленной игры:

Шаг 2. Программа установки выполнила пункты 2 и 3, описанные выше, и с помощью полученной информации стала показывать имя игры. Обратите внимание: установщик снова переключился на испанский язык. Причина в том, что после выполнения пунктов 2 и 3 он получил информацию от сервера об использовании испанского языка во время загрузки. Такая смена языка в процессе установки тоже должна вызывать подозрения.

Установщик получил данные с сервера и переключился на испанский язык.

Если нажать кнопку Next (Далее), установщик начнет предлагать инсталляцию дополнительного программного обеспечения, используя для этого целый ряд уловок. На примере, показанном ниже, для отказа от установки продукта нужно снять едва заметный флажок.

В следующем случае для отказа от установки предложенного ПО нужно поступить иначе  нажать кнопку Decline (Отклонить).

На третьем отобразившемся экране нужно снять еще один миниатюрный флажок.

Чтобы отказаться от установки предлагаемого ПО на четвертом экране, нужно еще раз нажать кнопку Decline (Отклонить). Чтобы усложнить отмену установки, с этого экрана убрали кнопку Back (Назад).

Процесс предполагает несколько этапов, на каждом из которых необходимо уделять внимание, чтобы избежать установки предлагаемых программ. Так и задумано. И это еще один признак того, что вы скачиваете совсем не то, что вам хотелось бы. Интерфейс установщика должен запутать вас, чтобы максимально увеличить вероятность установки программного обеспечения. Кроме того, на последнем экране дополнительно усложнено прерывание процесса.

После перехода на следующий экран отображается страница с благодарностью. Кажется, что до получения желаемой игры рукой подать.

Но установка этой игры даже не начинается. Вместо этого вы получаете очередную ссылку на потенциально вредоносный сайт, напоминающую случайный набор символов.

Получите ли вы вообще желаемую программу? Не факт. Но вполне можете получить другое ПО, устанавливать которое не собирались. Не говоря о возможном заражении системы вредоносными программами.

Avast способен выявлять подобные установщики и вредоносные программы, загружаемые в процессе установки, и предупреждать о них. В таких ситуациях люди часто теряются: им кажется, что они получают нужный им файл, но это не так, как мы уже убедились. В данном случае срабатывание антивируса не было ложным, поскольку наше средство обнаружило скрытое мошенничество.

Опасностей, связанных с подобными поддельными установщиками, можно избежать, если знать их отличительные признаки и следовать советам, приведенным в этой статье. 

Признаки поддельной программы-установщика

  1. Предложение слишком заманчиво, чтобы быть правдой. Например, если вам предлагают скачать платную программу или игру бесплатно.

  2. Интересующую вас программу предлагают скачать не в официальном магазине приложений или не на сайте разработчика.

  3. В процессе установки изменяется язык установщика.

  4. Установщик предлагает ненужные вам или неожиданные дополнительные программы.

  5. Установщик завершает работу, так и не установив программу, которую вы хотели получить.

  6. Установщик выглядит или ведет себя подозрительно, немедленно отключите его. Если кнопки выхода нет (в таких программах их иногда убирают), в ОС Windows можно в любой момент вызвать список активных приложений (нажав CTRL + ALT + DEL), выбрать в нем установщик и нажать кнопку «Завершить задачу».

  7. Если антивирусное программное обеспечение отображает предупреждение во время установки, стоит довериться ему и позволить защитить ваш компьютер.

  8. Если вы прошли весь процесс установки и не получили желаемого, удалите все установленные таким образом программы и выполните полное сканирование системы с помощью Avast (или другого антивируса, которым вы пользуетесь).

Зная принцип работы таких установщиков, вы сможете избавить себя от неприятных сюрпризов, связанных с нежелательными и вредоносными программами, которые эти установщики оставляют после себя. Если вы будете обращать внимание на признаки поддельных установщиков и соблюдать приведенные рекомендации, то сможете защитить свою систему от нежелательных программ.

Следите за нашими новостями в социальных сетях ВКонтактеОдноклассникиFacebook и Twitter