N.B. si tratta di pagine con collegamenti a malware attivo o a falsi softwares AV Usate quindi le dovute precauzioni se visitate questi siti.
Riprendo il post sul sito wiki trasformato in fonte aggiornata a links pericolosi , di cui ho recentemente scritto, per esaminare una delle tante novita' presenti in fatto di false applicazioni antivirus.
Quella che vedremo. e', a quanto pare dal report VT, una nuovissima applicazione fasulla di scansione del pc, disponibile in molte lingue, tra cui anche l'italiano.
Come gia' visto, una delle maggiori fonti di problemi per chi scarica files visitando siti con contenuti per adulti e' stata, fino ad oggi, la presenza di falsi player video, codec, activex tutti in realta' malware (varianti Zlob, ecc...) e di solito scarsamente riconosciuti dai reali softwares antivirus piu' diffusi.
Riprendo il post sul sito wiki trasformato in fonte aggiornata a links pericolosi , di cui ho recentemente scritto, per esaminare una delle tante novita' presenti in fatto di false applicazioni antivirus.
Quella che vedremo. e', a quanto pare dal report VT, una nuovissima applicazione fasulla di scansione del pc, disponibile in molte lingue, tra cui anche l'italiano.
Come gia' visto, una delle maggiori fonti di problemi per chi scarica files visitando siti con contenuti per adulti e' stata, fino ad oggi, la presenza di falsi player video, codec, activex tutti in realta' malware (varianti Zlob, ecc...) e di solito scarsamente riconosciuti dai reali softwares antivirus piu' diffusi.
Da qualche tempo, pero', sembra che la tendenza sia quella di affiancare alla distribuzione di codici pericolosi anche quella di falsi applicativi antimalware e antispyware, utilizzando i medesimi siti e le medesime tecniche viste per la distribuzione di malware.
Ecco cosa succede esaminando uno dei link
http://free-porntube(dot)weebly(dot)com/hentai-tube.html
tra le centinaia presenti sul sito wiki esaminato
La pagina che vediamo, dai testi presenti non lascia dubbi sui contenuti che verranno proposti cliccando su uno dei tanti links
Gia' nei giorni scorsi, seguendo qualche links disponibile su questo sito, si veniva indirizzati in sequenza a differenti pagine:
Per primo ad una pagina che abbiamo gia' visto nella descrizione del falso player video linkato dal sito wiki, successivamente su una falso pagina di Youtube con contenuti porno e links a malware zlob e riprovando ancora, ad un sito di un falso antivirus gia' noto e molto diffuso in rete.
In pratica veniva riconosciuto l'IP di chi visitava il sito e venivano proposte pagine con contenuti diversi.
Da oggi, sembra che chi gestisce il sito abbia modificato i links, preparando nuove sorprese per chi dovesse visitare la pagina che abbiamo visto ora
Ad esempio ecco uno dei collegamenti che punta a
http://adult-archive(dot)net/?wmid=305&softname=teens_fuck_orgy.mpeg
Ecco cosa viene caricato se si ha un IP ad esempio “italiano” ( per chi vista il sito dalla Thailandia, e' stato invece predisposto un redirect automatico su Google Thailand.per occultare la pagina)
Si tratta del 'solito' sito di filmati porno che tra l'altro sembra abbastanza curato come layout mostrando sempre differenti immagini visitandolo ripetutamente.
Cliccando su una delle immagini presenti viene proposto il download di un file eseguibile mentre cliccando sui links testuali che appaiono nella parte sinistra della pagina si apre quella che potrebbe sembrare la 'solita' pagina del falso codec video da installare per vedere il filmato.
http://adult-archive(dot)net/get.php?wmid=305&softname=teens_fuck_orgy.mpeg
Si tratta in ogni caso di un link che tramite opportuna chiave chiamata softname permette di ridenominare il file scaricabile al momento dl download.
Ecco un semplice esempio
Le differenze con i normali files malware pero' sono subito evidenziate dalle dimensioni dei files scaricati.
Si tratta infatti di file eseguibili di piu di 2 mega, un po troppo per dei semplici codici malware.
Passando ad una analisi con Virus total il 'mistero' sulla natura dei files rimane in quanto sono praticamente sconosciuti ai vari software AV presenti nel report.
Una analisi degli SHA o MD5 sul report VT ci conferma pero' che, pur con nomi diversi di eseguibile, siamo in presenza del medesimo file sia che venga scaricato dal link diretto sulle immagini che come falso codec video..
A questo punto e' utile consultare un sito di come ad esempio http://www.threatexpert.com/ che ci fornisce una analisi del file quando eseguito e che dal report generato risolve i dubbi sulla natura del reale contenuto del file.
Si puo ad esempio notare che una volta eseguito il file scaricato crea il folder sysguard con diversi subfolders contenenti parti di un programma probabilmente appartenente alla categoria dei falsi AV.
Inoltre nel report viene indicato l'avvio in autostart di due applicazioni ed un link ad un sito che se pur dal nome della url sembra spagnolo ha testo sulla pagina home in caratteri russi ed e' registrato ad un nome ben noto a chi si occupa di malware
Aggiornamento
GMG mi segnala, in un commento al post, che il sito piratas-numericos[DOT]info e' gia noto per aver distribuito un malware di tipo ransomware (trojan che cripta il contenuto di alcune cartelle o di alcuni file del pc vittima e richiede un pagamento in denaro per poter rendere di nuovo utilizzabili i dati cosi' codificati).
Symantec riporta ad esempio questa info riguardo al sito dei probabili creatori del malware 'Trojan.Randsom.C' in questione:
The Trojan 'Trojan.Randsom.C' is reportedly dropped by other malware or may be downloaded from the following remote site: [http://]piratas-numericos.info/handlers/get[REMOVED] .
---------------------------------------------------------------------
A questo punto non e' restato che provare a vedere cosa succede eseguendo il file scaricato dal falso sito di filmati porno.Dopo pochi secondi abbiamo la conferma che si tratta di una nuova fasulla applicazione antivirus
che dopo il messaggio di allerta iniziale apre questa interfaccia grafica che e' disponibile anche in italiano
e che si presenta come XLG Privacy Control Center
Il falso antimalware sembra comportarsi come i piu' tipici programmi di questo genere non permettendo addirittura di minimizzare la finestra principale, che rimane sul desktop sopra tutte le altre presenti.
In pratica, a meno di non intervenire con il task manager non abbiamo la possibilita' di chiudere il programma, che, dopo averci mostrato decine di problemi (fasulli) sul nostro pc, simula anche una parziale bonifica dei files trovati
In pratica viene simulata una 'pulitura di alcuni dei files ma non di tutti se non dietro registrazione a pagamento del software.
Questa la richiesta di registrazione del falso antivirus:
Esaminando il file .ini usato dal falso Av vediamo che per il 'pagamento' ci si appoggia ad un altro sito di falso AV
questa la homepage
e questo il report VT molto scarso come risultati
Questa invece e' la struttura del folder creato al momento della istallazione
dove si notano i due eseguibili (dove tipguard.exe e' il programma che gestisce l'autostart e crea l'icona sulla barra di XP) e dove appare evidente il folder 'lang' contenete appunto i vari files di configurazione dei linguaggi disponibili
Questo e' quello per il settaggio italiano del programma con alcune traduzioni 'notevoli'
(ricordano molto gli errori presenti nelle traduzioni dei testi dei messaggi di phishing in italiano)
E' presente anche un uninstall che pero' si risolve con questo messaggio
In conclusione la ricerca in rete di questa applicazione fasulla, sembra ricondurla ad una variante del software XL Guarder anche se gli screen proposti sono differenti.
Il fatto inoltre che praticamente sia sconosciuta ai software Av potrebbe dimostrare che si tratta di una nuova variante non ancora molto diffusa in rete che potrebbe creare non pochi problemi a chi inavvertitamente la avesse installata e dovesse ora rimuoverla in modo manuale dal proprio PC.
Edgar
3 commenti:
piratas-numericos[DOT]info
sono gli autori di un ransomware
http://sunbeltblog.blogspot.com/2007/12/trojan-delivers-pay-by-phone-extortion.html
http://www.symantec.com/security_response/writeup.jsp?docid=2008-010515-1023-99&tabid=2
Interessante...
Alla fine molte delle iniziative di distribuire malware, rogue applicatione ecc... sono gestite sempre dai medesimi personaggi...
Aggiorno il post con la notizia che mi hai passato...
Edgar
io non ci capisco molto di questo genere pero mi sono ritrovato con questa icona che non sene andava ho usato task manager per farla andare via e mi diceva che avevo oltre 1200 file critici mi è stato molto utile pero non ho capito come fare per toglierlo
Posta un commento