mercoledì 11 febbraio 2009

XP Police Antivirus 2009

E' uno dei tanti recenti softwares del genere Rogue anti-spyware che dimostra una notevole capacita' nel generare falsi avvisi malware sul computer dove viene installato.

Questo il sito (xp-police-2009.com)


con whois




che propone il download di un piccolo file eseguibile



scarsamente riconosciuto dai principali softwares AV su VT,

e che se eseguito, contrariamente a molti altri simili programmi che propongono finestre di install con menu' di scelta, in maniera del tutto nascosta, scarica ed installa il falso AV

Non vengono infatti presentati menu' di install o altri avvisi ma, una volta lanciato, il file install.exe, agisce in background, scaricando il software ed installandolo e roponendo solo alla fine, una pagina web che avverte del successo dell'operazione.


A questo punto comincia in automatico la scansione del computer che portera' tramite insistenti popup, ad avvisi sulla presenza di virus, di connessioni pericolose in rete ecc... per tentare di far registrare a pagamento il falso programma.

Interessante notare la cura nel simulare ad esempio il control center di windows XP

con una finestra praticamente identica all'originale tranne che per il fatto che cliccando sui vari links presenti si viene sempre reindirizzati al sito web per attivare a pagamento il falso AV.

Come per altri falsi AV, visto che non esiste una disinstallazione, esistono, cercando in rete vari suggerimenti per disinstallare il falso antivirus una volta che sia presente sul pc.

Molto interessante e' invece la pagina a cui linka il sito web di XP Police Antivirus 2009 per quanto si riferisce al supporto online (freehelpdeskonline.com).

Vine infatti proposto un link a questo sito,

che dimostra subito delle particolarita' sugli indirizzi IP, come vediamo dallo screenshot.

Un nslookup dell'indirizzo

mostra, come era prevedibile, un basso valore di TTL (solo 2 minuti) ed una serie di IP che farebbero pensare ad un utilizzo di Fast Flux per questo sito di supporto clienti.

Anche una scansione con lo script Whois

dimostra che esiste un continuo cambiamento degli IP di riferimento al sito che puntano a diversi paesi

Edgar

Nessun commento: