venerdì 10 ottobre 2008

Antivirus 2010

Anche se non e' terminato il 2008, chi crea false applicazione antivirus ha gia pensato al 2010.
Ecco infatti in rete la comparsa del nuovo Antivirus 2010.
Si tratta d una applicazione di falso antivirus recente che continua la lunga sequenza di altre false applicazioni Av quali Antivirus 2008 ... 2009 ..ecc

Questo il sito dal quale ci viene proposto di scaricare il falso AV2010.

con whois in

In realta' viene scaricato un installer che provvedera' a lanciare il programma Antivirus 2010 dopo aver scaricato sia il file eseguibile che una dll sul nostro pc.

Interessante notare che i maggiori software AV basano la loro azione contro questa falsa applicazione proprio evidenziando l'installer come pericoloso


e non invece il file eseguibile dell'applicazione scaricato dal programma di installazione


Questa cosa se da un lato garantisce il blocco di un possibile download con esecuzione del programma dall'altro si potrebbe prestare a contromisure da parte di chi ha creato e gestisce questo tipo di distribuzione di rogue application.
Basterebbe infatti la sola modifica del codice dell'installer per eludere ogni controllo sul falso antivirus.

Come si vede da un report Anubis l'installer esegue alcune azioni tra cui

mentre il download eseguito dal software di setup comprende, come gia' detto sia un eseguibile che una dll.


Per quanto riguarda la dll solo Symantec evidenzia il problema


Una volta in esecuzione il file di install del falso Av, dopo una finestra di avviso,
carica ed esegue il programma che riempie lo schermo del pc di finestre di allerta malware e di scansione in corso, con in elenco una lunga lista fasulla di malware trovato sul nostro hard disk

Come vediamo da questa videata abbiamo anche la presenza di un fake Security Center che cerca di rappresentare nel modo piu vicino al reale la finestra del Security Center di XP, ma le differenze ci sono anche se subito non evidenti
Ecco messe a confronto le finestre quella del reale Security Center a sinistra e del fasullo a destra

dove notiamo ad esempio che e' stata usata una diversa icona per le opzioni Internet ed anche un avviso Microsoft presente solo sull'orignale Security Center.

Una volta installato il falso software genera frequenti messaggi di allerta sia con la comparsa di avvisi sulla barra di XP che anche con l'apertura di finestre di avviso sul desktop

Inoltre, e questa e' una novita' si segnala da piu' parti, la comparsa ad intervalli di tempo, variabile, di un falso schermo blu, il cosiddetto “Blue screen of Death”

tipico di problemi al sistema operativo Windows e che vuole simulare appunto un crash del sistema per meglio invogliare alla registrazione del software.

Al momento non posso confermare la presenza di questa nuova capacita' del falso Av in quanto non ne ho rilevato la comparsa anche dopo piu' di un ora di esecuzione del AV2010.(possibile differente risposta del programma quando eseguito in macchina virtuale)

Inoltre facendo riavviare il computer si nota che nel folder di windows c:\WINDOWS\system32 e' presente il file wingamma.exe che ad ogni boot del pc lancia il falso AV e, come vediamo,

attiva anche una connessione con il sito che ospita pagine ed eseguibile di AV2010.

La richiesta di registrazione compare ogni volta che si clicca su qualche opzione di rimozione del malware indicato

ed apre questa una pagina
dove a pagamento si potra' registrare il software

Per quanto si riferisce alla disinstallazione del software come al solito bisognera' affidarsi agli articoli pubblicati in rete che descrivono in dettaglio le modalita' di rimozione, quasi sempre manuale, del software in quanto l'opzione uninstall nel menu relativo al programma e', come sempre, in questi casi di falsi antivirus, inattiva.

Edgar

Nessun commento: