giovedì 15 ottobre 2009

Analisi del fake AV proposto dai numerosi links su siti IT compromessi. (agg. 15 10 09)

Come scritto nel precedente post vediamo di analizzare il file eseguibile proposto dai molti links presenti su siti IT compromessi , visto che da una attuale analisi VT,

con risultato quasi nullo di riconoscimento, non si puo' capire di che applicazione si tratta.
Ecco alcuni dettagli del server che propone il file exe, che andremo ad eseguire.


Il primo tentativo di eseguire in Sandboxie il file porta alla comparsa di un messaggio di errore con il blocco dell'installazione.

Eseguiamo allora il file senza l'uso di Sandboxie e dopo il messaggio che ci indica il download del codice dell'applicazione AV,

che una analisi della connessione internet mostra scaricato da questo server

abbiamo l'esecuzione del programma con al comparsa di 2 diverse finestre :
questa, relativa ad un clone del Security Center di Windows

e un'altra che propone la scansione del PC, eseguita in automatico all'avvio del fake AV, e che ci permette di catalogare l'applicazione come 'Cyber Security'

Il falso Av attiva anche nella barra di Windows queste due icone

mentre crea nel menu di avvio questo folder contenente sia le icone del programma ma anche quella della registrazione , naturalmente a pagamento, dello stesso.

Come succede con molti dei falsi AV in circolazione, e' presente la comparsa insistente di messaggi che propongono l'aggiornamento del database del falso AV dopo la registrazione, oppure avvertono che il nostro PC e' 'saturo' di malware di tutti i generi.

Per di piu', cercando una opzione di disinstallazione non solo non compare tra le varie scelte relative al falso Av nel menu' su start visto prima, ma , cercando in Windows nell'applicazione di unistall, l'icona del programma che in effetti e' presente,

se cliccata , invece che disinstallarlo ci propone di registrarlo.!!!

Per alcuni consigli su come disinstallare il software su questo link si possono trovare (in lingua inglese) alcune info al riguardo.

Rimane comunque sempre valido il consiglio di evitare di lanciare ed installare software di provenienza sconosciuta (es scaricato in automatico da siti, da links su mails, ecc...) e possibilmente documentarsi in rete prima di avviare l'esecuzione, di eseguibili proposti da pagine di dubbia affidabilita'..( scanners online, siti di player video , falsi motori di ricerca ...ecc.....)

Edgar

Nessun commento: