martedì 3 marzo 2009

Norton Safe Web, Antivirusxp-pro2009 ed una lunga lista di urls nel file di setup

Vistando il sito Norton Safe Web si notano alcuni indirizzi web che, anche per chi non si occupa quotidianamente di problemi legati a falsi AV, sono sinonimo di false applicazioni antivirus.
Sorprende invece il fatto che a fianco di un commento che avvisa del problema della 'fake av application' da parte di un utente di Safe Web, appaia il bollino verde (safe application) messo dal sito Norton, cosa che dovrebbe significare una mancanza di problemi per chi visita le pagine in elenco e scarica il file eseguibile proposto.

Come succede abbastanza spesso, ed ancora una volta, un sito come Safe Web che dovrebbe informare sulla pericolosita' delle pagine da vistare fallisce l'analisi, e non e' da escludere che qualche visitatore del sito Antivirusxp-pro2009 scarichi ed installi il programma fidandosi dei risultati presentati.

La spiegazione di questa nuova fallita analisi e abbastanza semplice per i due primi siti in elenco e cioe' al momento della stessa i due siti web si trovavano offline ( come dimostra lo screenshot allegato all'analisi Safe Web)

e Safe Web non ha potuto comunque rilevare files o codici pericolosi.

Per il terzo sito in elenco e cioe' antivirusxp-pro2009(dot)com invece il Norton SW riporta uno screenshot attuale della pagina

e quindi la spiegazione potrebbe essere semplicemente che Norton Antivirus non riconosce il file eseguibile di setup come pericoloso
La conferma la abbiamo da una analisi VT che dimostra infatti

Come si vede il file di setup del falso AV e' scarsamente riconosciuto ed il Norton Av non compare in elenco.

A parte le conosciute limitazioni sull'efficacia di una scansione online on demand quale quella di VT, se al limite, Norton SW utilizzasse i risultati di Virus Totale forse aumenterebbe l'attendibilita' dei suoi reports ma evidentemente non si tratta di una idea proponibile anche sotto un punto di vista strettamente commerciale e di immagine in quanto si utilizzerebbe software della concorrenza.

A questo punto proviamo a scaricare il file di setup dal sito Antivirusxp-pro2009(dot)com


ed a eseguirlo per verificare meglio le caratteristiche della falsa applicazione.

Un primo tentativo di eseguire il setup in pc virtuale sotto sandboxie da questo risultato

Proviamo allora senza la sandboxie attiva ed ecco dopo pochi secondi apparire la finestra del programma che esegue la falsa scansione e propone una altrettanto lista fasulla del malware trovato sul pc.

L'immediatezza con la quale appare la finestra del falso Av in fase di install fa' pensar che piu' che ad un file di setup vero e proprio ci troviamo di fronte al medesimo file sia che si tratti del setup che del programma installato sul disco.
Ecco infatti una verifica dei codici md5

che dimostra che l'eseguibile installato e' lo stesso file di setup ridenominato

Una volta finita la scansione e' interessante notare che compaiono nomi di files eseguibili malware

assolutamente inesistenti sul pc e, senza troppa fantasia, prelevati direttamente da un elenco in chiaro presente all'interno del codice del programma.


Come succede tutte le volte che si usa un falso Av il tentativo di lanciare un clean dei files trovati genera la richiesta di registrazione a pagamento del falso software.

Contrariamente ad altre volte il programma propone anche un link a casella di posta elettronica per eventuali richieste di assistenza, lasciando parecchi dubbi sulla sorte (liste di spam) dell'indirizzo mail utilizzato per una richiesta di questo genere di assistenza.

Come sempre non esiste la possibilta' di terminare da menu' il programma e tanto meno l'opzione di disinstallazione.

Veniamo ora alla parte piu' interessante e precisamente all'analisi se pur sommaria dei contenuti del file di setup e quindi come abbiamo visto anche del file programma installato sul pc in quanto identici.

Ecco come appare una parte del contenuto testuale ,in chiaro, incluso nel file eseguibile (programma e setup)
Nuovamente, come gia' accaduto in passato, il file contiene migliaia di indirizzi web di vario genere, ed ecco un filtro solo per i siti italiani presenti in elenco

A cosa serva questo elenco contenuto all'interno del file eseguibile non sembra chiaro:

Potrebbe trattarsi di una lista da utilizzare forzando il browser a navigare o ad escludere dalla navigazione solo questi siti. ma con il programma in esecuzione non appare traccia di modifiche ad esempio nella cartella del file host di Windows.
Potrebbe essere un elenco di links utilizzato dal software per visualizzare un allarme fasullo riferito ad un sito visitato ed in elenco ...ecc... ma durante l'esecuzione del programma non appaiono coinvolgimenti di questi siti.
Anche un tentativo di osservare eventuali connessioni in rete una volta che il falso Av e' in funzione non ha rivelato collegamenti attivi tra il software e qualche server o sito remoto di quelli presenti in lista.

In ogni caso e' gia' la seconda volta che compare un elenco di urls di queste dimensioni all'interno di un setup di falso Av.
La volta scorsa una lista simile di urls era presente nel software fasullo AV antispyware-2008 come avevo gia' evidenziato in passato su questo post.

Edgar

Nessun commento: