giovedì 22 luglio 2010

Un ingannevole utilizzo di noti marchi hardware e software per installare programmi non voluti ed adware sul nostro pc

L'utilizzo di noti marchi software oppure di aziende produttrici di hardware per tentare di installare software di dubbia utilita', affidabilita' ed in alcuni casi anche con caratteristiche adware e' tuttora sempre molto presente in rete.

Chi segue il blog ricordera' una segnalazione relativa a pagine ingannevoli che proponevano l'installazione di drivers video ma che nulla avevano a che fare con i reali produttori di schede video e ancora meno con i drivers in questione.

In quel caso una ricerca Google proponeva siti creati in maniera tale da clonare i layout dei siti di alcuni noti produttori di hardware (Nvidia, Ati ecc...) per far installare un software che nulla aveva a che fare con i reali drivers cercati in rete.

Sembra che comunque quanto gia' visto , anche se in forma leggermente meno ingannevole continui; ecco ad esempio una odierna ricerca in rete

dove al top dei risultati, ed anche se viene proposto come risultato pubblicitario (sponsored link), appare un sito che ricalca quanto gia' scritto in passato.

Ecco la pagina linkata

che presenta una scritta relativa all'upgrade di drivers ATI ma che fa' scaricare (pulsante DOWNLOAD NOW ) in realta'' una utility denominata 'Driver Detective'
Sul medesimo sito anche 'drivers upgrade' per altri noti marchi di schede video

ma sempre che fanno scaricare il software visto prima.

Quello che invece viene segnalato oggi da blog.dynamoo.com e' forse piu' rilevante dal punto di vista della sicurezza del nostro pc.
Esaminiamo alcuni dettagli:

Puo' capitare che ricercando un noto software (es.il reader Adobe) , magari per installarlo sul nostro computer , vengano proposti risultati come questi

che a prima vista non presentano nulla di particolare, tanto piu' che se clicchiamo su uno dei links otteniamo

Un buon layout con numerose scritte che ci dovrebbero rassicurare sul fatto che siamo su un sito Adobe per scaricare una versione recente del noto lettore di files PDF.
Sono presenti anche diversi pulsanti di grandi dimensioni per attivare il download del software, cosa che proviamo ad eseguire

Quello che ci appare e' una nuova pagina di conferma del download che se letta attentamente mostra una grande scritta che ci dice cosa succedera' premendo il pulsante Start
In pratica andremo ad installare un software (anzi piu' di uno) che sono visti anche da una analisi VT come

Si tratta di programmi adware che, anche se non pericolosi come un malware, potrebbero comunque risultare abbastanza “fastidiosi” (pop up – risultati di ricerca non voluti, ecc)senza contare che noi , nell'esempio visto ora, volevamo installare Adobe Acrobat Reader e non certo una toolbar sul browser.

Ecco un dettaglio tecnico che dimostra forse un ulteriore tentativo di camuffare il file che ci viene fatto scaricare.

Questa una analisi dei codici md5

che ad ogni download del software adware risultano modificati (cosa che si rileva usando anche VT che chiede sempre una nuova scansione ad ogni analisi del file eseguibile ri-scaricato piu' volte)

Sullo stesso IP che ospita il fake Adobe download abbiamo anche tutta una serie di pagine che imitano il layout e propongono noti softwares, ma scaricabili tutti in realta' come un software adware.

Ecco Google Earth

ma anche ad esempio il noto browser Opera



oppure MSN messenger

ma la lista e' molto lunga (fake flash player, ecc...)

Resta da vedere se i legittimi proprietari dei marchi presi di mira attueranno azioni di contrasto all'utilizzo ingannevole dei loro marchi e loghi sulle pagine viste ora.

Come curiosita' questa e' la parte bassa della pagina di falso download di Google Earth dove, in caratteri molto piccoli e scarsamente leggibili (grigio su bianco)

viene scritto:
'................................... Questo sito non ha alcuna partnership con il proprietario o il produttore di questo software, e fornisce solo un collegamento al programma.........'

(….. al solo programma adware visto che questi sono i SOLI links presenti sul sito fake)

ed ancora

'….... I nuovi utenti dovrebbero trovare i nostri servizi di valore, e un risparmio di tempo. Se sei un utente di computer avanzato, probabilmente non hai bisogno dei nostri servizi...................'

Edgar

Nessun commento: