sabato 28 giugno 2008

In rete nuovi falsi antivirus. Qualche dettaglio su 'Antivirus 2009 Protection'

Sono decine, in rete, i siti che propongono false applicazioni antivirus sempre nuove e con layout di pagine molto curati per dare una parvenza di ufficialita' al programma fasullo che tentano di far scaricare.

'Antivirus 2009 Protection' e' il nome di uno di questi software apparso da pochi giorni in rete

Sito curato nel layout e che questa volta tenta di sfruttare il nuovo nome che porta il riferimento all'anno 2009 proprio per apparire l'ultima novita' nella lotta al malware.

Tra l'altro sulla home si nota anche l'icone che punterebbe ad una ipotetica versione del software anche in italiano, cosa che in realta' e' fasulla in quanto se si clicca sulla miniatura della bandiera italiana si attiva solo il download della falsa applicazione.
Quasi tutti i link presenti sulla homepage linkano al file av2009install_0011.exe

La particolarita' di questa nuova 'rogue application' e' quella di essere praticamente sconosciuta, al momento, ai vari softwares antivirus (quelli reali) e solo Microsoft individua il file come Trojan downloader.


Un whois del sito indica un server tedesco come hosting del sito della falsa applicazione.

Una volta cliccato sul file av2009install_0011.exe questa e' la finestra che ci avvisa dell'installazione in corso del falso antimalware


ed una volta terminata si attiva la consueta sequenza (tipica di questi softwares ) di avvisi che ci avvertono della presenza sul nostro pc di malware di tutti i generi con la richiesta di registrare il programma per poter eseguire la rimozione dei codici pericolosi presenti.

Come si vede l'interfaccia del software si presenta ben strutturata e con le tipiche opzioni di un antivirus e la fantasia di chi ha creato il log dei nomi dei files malware trovati e ' notevole. (praticamente sul nostro pc abbiamo tutte le tipologie di malware esistenti.. 'rogue, dialers, trojan ....')

Al momento della prima esecuzione della falsa applicazione appare anche la nota finestra del Security Center (in questo caso di XP) che in realta' non e' l'originale ma una copia della stessa simulata dal software, come si vede dalle differenze tra la reale e quella visualizzata dalla rogue application.

Questo per sollecitarci maggiormente a registrare l'applicazione attraverso anche una serie di messaggi che compaiono nella taskbar

Come al solito il problema non finisce con i falsi avvisi ma si dimostra ancora piu' serio al momento di disinstallare il software fasullo in quanto normalmente con queste applicazioni non basta usare l'opzione di unistall (quando eventualmente presente) ma bisogna rimuovere manualmente chiavi di registro, eliminare la registrazione delle DLL installate dal software, cancellare folders creati dall'applicazione, ripristinare la pagina di default di apertura del browser in quanto a volte risulta cambiata, ecc.... ed il tutto dopo aver bloccato eventuali task attivi dell'applicazione rogue.

Della stessa famiglia di Antivirus 2009 Protection abbiamo anche altre applicazione simili ( Antivirus 2009 e Antivirus 2009 Pro ) che fortunatamente sembrerebbero meglio riconosciute dagli attuali antivirus.

In ogni caso, visto che, attualmente , il pericolo costituito da alcune di queste applicazioni antimalware non viene rilevato praticamente da nessun antivirus esistente e' meglio sempre documentarsi con una ricerca in rete prima di passare all'installazione di software antimalware sconosciuto che potrebbe, poi, farci passare ore nel tentativo di rimuoverlo dal nostro computer.

Edgar

3 commenti:

Unknown ha detto...

qualcuno sa dirmi come fare per cancellare sta schifezza di antivirus fasullo che mi sono preso?

Edgar Bangkok ha detto...

Questi falsi programmi sono fatti apposta per renderne difficile la disinstallazione.
Cerca con Google es. "Antivirus 2009 removal instructions" e troverai parecchi siti che spiegano come rimuovere il falso antivirus, Dato che ce ne sono decine in rete di softwares fasulli non esiste un modo generico per rimuovere tutti i programmi ma ogni programma ha i suoi specifici files da cancellare ecc...
Per alcuni antivirus fasulli esistono anche programmi fatti apposta per disinstllarli.
L'unica soluzione e' quindi quella di cercare in rete la specifica procedura per quel tipo di antivirus fasullo.

Edgar Bangkok ha detto...

Per chi mi segnalava la presenza del mio post su altro blog ho verificato e viene correttamente citata la fonte
"..... ..........che sembra inarrestabile.
Dal blog di Edgar ci arriva la segnalazione per 'Antivirus 2009 Protection' : l'ultimo dei falsi antivirus apparso da pochi giorni in rete .........."

Grazie comunque per la segnalazione :)