Quella che vediamo e' la struttura odierna di un folder incluso nelle ultime ore
Questa volta e' possibile visualizzare direttamente dal browser le centinaia di pagine incluse presenti sul sito IT compromesso.Ognuna delle pagine presenta un semplice script offuscato, che questa volta utilizza piu' di un sito intermedio come redirect alle pagine che distribuiscono il fake AV
con IP
tra cui si nota anche quello finale
che questa volta risulta abbastanza esotico, appartenendo a quello assegnato ad un gruppo di isole dei CaraibiAltra particolarita' e' che questa volta abbiamo anche un differente genere di pagina che propone un eseguibile scaricabile, fatto passare come un software di ottimizzazione del PC
Eseguendo piu' volte i links proposti dal codice javascript offuscato presente nelle pagine incluse si viene comunque anche rediretti su pagina con il tipico layout di fake scanner AVUna analisi VT presenta i seguenti risultati
Per identificare con precisione di quale genere di software di fake AV si tratta eseguiamo il file scaricato con i seguenti risultati
Questa la procedura iniziale di Install del fake AV
a cui segue l'attivazione del software che propone
Si tratta di un software di rogue Av che possiamo identificare come appartenente alla 'famiglia' di Virus Doctor e che nello specifico caso prende il nome di Cleanup Antivirus.
Altra particolarita' da rilevare e' la modifica del file host del PC alterando la navigazione su alcuni indirizzi web in questo modo
Esistono in rete alcuni siti che propongono la procedura di 'pulizia' del PC per chi avesse eseguito l'installazione del fake Av come ad esempio http://www.bleepingcomputer.com/virus-removal/remove-cleanup-antivirusEdgar
Nessun commento:
Posta un commento