Il condizionale e' d'obbligo in quanto come vedremo la presenza di codice di dubbia affidabilita' non e' confermata ne dai reports sia di Norton Safe Web che Mc Afee (risultati completamente con bollino in ' VERDE' = sito sicuro !!! ) ma anche da un quasi nullo riconoscimento da parte dei principali softwares AV su VT.
Vedremo in questo post anche alcuni indizi che rafforzano comunque la convinzione che ci troviamo di fronte a software utilizzato in unione ad adware ed alla fine del post scopriremo come questo dubbio sia confermato.
Iniziamo con i links presenti su questa ricerca riguardante siti IT compromessi
Si tratta di risultati che indicano siti con problemi solo da qualche ora e che si vanno ad aggiungere alle centinaia di siti IT gia' presenti in rete con medesimi contenuti nascosti e pericolosi.A questo punto seguendo il link proposto dai risultati di ricerca, e mascherando l'IP reale (nel mio caso Thai) con un accesso proxy che simuli un IP italiano, abbiamo questa pagina, molto semplice che presenta un testo (in italiano) con relativo link.
Seguendo il link e passando per questo sito fake di ricerche in rete
arriviamo a questo sito, con whois,
dal layout estremamente curato e scritto in buon italiano.
Come si vede si tratta di software di 'download manager' che dalle caratteristiche indicate sembra essere molto efficiente.
Qui incominciano le prime strane coincidenze che fanno pensare ad una 'fake application' o comunque ad un tentativo di usare adware.
Ecco infatti, sulla pagina che prone il download anche uno screenshot con anteprima del programma
questo un dettaglio
(notate che nel top della finestra dell'applicativo NON compare nessun nome di programma come di solito appare in Windows)che andiamo a confrontare con un programma free per i download e precisamente 'Free download manager' (programma di gestione download free e di cui e' disponibile anche online anche il codice sorgente)
Questa la pagina Wikipedia
Come si nota, lo screenshot mostra l'identico layout tra i due programmi, praticamente non riconoscibili uno dall'altro.Se esaminiamo in dettaglio il sito di Free Download manager possiamo pero', notare questa nota che riferisce di un possibile uso di una versione 'custom' personalizzabile .
Vediamo ora, in riferimento all'installazione un'altra strana caratteristica dei files di setup '
Scaricando piu' volte il file di setup notiamo che i codici hash del file cambiano continuamente
come se chi lo ha creato volesse in qualche modo occultarne il riconoscimento da parte dei software Av (cosa tipica di molte distribuzioni malware o comunque di fake Av ...).Andiamo adesso a verificare invece come sia Norton Safe Web
che Mcafee Site Advisor catalogano il sito in questione
Come vediamo in entrambi i casi si tratta di sito sicuro anche se i commenti degli utenti dei due siti sono per sito che hosta files adware o pericolosi.(McAfee vede come pericoloso un altro sito presente sempre sullo stesso IP )
Ecco ora una analisi VT del file di setup scaricato
con un risultato quasi nullo riguardo a possibili problemi nei contenuti dell'eseguibile , e che comunque non chiarisce molto se siamo di fronte a dei falsi positivi od a un reale software adware o peggio.
Da notare anche che nella pagina di presentazione del software viene indicata una dimensione del file di circa 5 mega mentre il file scaricato e di un decimo di questa dimensione facendo pensare che il file scaricato sia solo il setup che poi provvedera' a scaricare i files necessari all'installazione.
Inoltre una analisi con il noto software Adware non da' nessun positivo sempre al riguardo del file scaricato.
A questo punto non ci resta che passare all'esecuzione del setup per verificare realmente cosa accade
Ecco la prima schermata che gia' ci conferma i dubbi iniziali
In pratica un software adware in piena regola se leggiamo la definizione di questo genere di programmi, che compare su Wikipedia :
“Il termine adware (in inglese, contrazione di advertising-supported software, software sovvenzionato dalla pubblicit?) indica una modalit? di licenza d'uso dei programmi software che prevede la presentazione all'utente di messaggi pubblicitari durante l'uso, a fronte di un prezzo ridotto o nullo.”
e procedendo nell'install ecco alcune schermate della licenza d'uso che evidenziano sia che si tratta di una installazione della versione di Free Download Manager
sia che si procedera' all'aggiunta alcuni files accessori che svolgeranno la funzione adware.
Una volta completata l'installazione
andiamo ad esaminare gli eventuali eseguibili aggiunti sul nostro pc ed, a parte la versione del Free Download Manager, troviamo questo eseguibile in run
che Prevx cataloga come file adware recentemente comparso online:
Visto poi che questa versione di Free Download Manager viene abilitata all'autorun ci sara' probabilmente l'eseguibile adware in funzione sul nostro PC gia' dall'avvio di windows e senza eseguire il programma di download manager.
L'unico fatto positivo e' che, almeno per questa volta, al momento del lancio del setup viene chiaramente indicato che si tratta di adware cosi' come nella licenza d'uso anche se come fatto negativo sia nello screenshot che nel testo presente sul sito web di speed-downloading non si fa al minimo riferimento al fatto che si tratta di una installazione di un software libero (Free Download Manager) utilizzato in unione a files che con il programma non c'entrano un bel niente.
Pensando poi che Free Download Manager e ' appunto non a pagamento non si capisce perche ci si dovrebbe installare sul pc dei programmi adware accessori visto che non c'e' nessun costo al riguardo del software installato.
Al limite, anche se pratica non certo gradita, una aggiunta adware potrebbe giustificarsi quando viene offerto gratis un software a pagamento e la pubblicita' ripaga la spesa sostenuta da chi offre il programma.
C'e' inoltre da dire che nel caso visto ora non solo verra' proposta della pubblicita' ma verra' installato sul pc del software che inviera', anche se in maniera anonima, dati riguardanti l'uso del pc sperando che le affermazioni scritte nella licenza d'uso al riguardo della privacy, siano rispettate.
Sempre sullo stesso Ip abbiamo anche altri software in italiano come ad esempio questo Pc-optimizer
o questo sito di videogames scaricabili
che sembrerebbero ricalcare contenuti simili al sito di speed-downloading visto ora.Edgar
Nessun commento:
Posta un commento