AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links ad eseguibili poco riconosciuti dai reali softwares AV.
Una ricerca Google segnala attualmente quasi 300 riferimenti (date e time recenti)
a sito web IT hostato su
Si tratta di un sito web sulla cui homepage parrebbe essere presente un redirect a layout piu' aggiornato, sempre riferito al medesimo sito, ma su differente IP.
In ogni caso appare evidente come siano stati inclusi centinaia di codici, che in maniera automatica redirigono, attraverso diversi siti intermedi
alla pagina finale che distribuisce il malware, creando tra l'altro, un SEO poisoning molto efficace.
Questa la pagina di fake player proposto
che distribuisce, come al solito, un eseguibile pochissimo visto dai reali softwares AV
Da notare che modificando l'url della pagina linkata, scopriamo un'altra pagina web di fake player
questa volta su IP
e che distribuisce il medesimo file eseguibile.(nei casi visti adesso molte volte il file EXE viene prelevato da diverso sito rispetto a quello che ospita la pagina)
Questi alcuni degli exe scaricati durante l'analisi( il numero in parentesi e' aggiunto dal gestore del downlaod per non sovrascrivere piu' files con lo stesso nome - inst.exe )
Visto che VT non presenta molti dettagli al riguardo del malware, proviamo ad eseguire uno dei files scaricati, e questa volta con Windows 7 in Vbox sotto Linux,
Come si vede si tratta di fake Av denominato SecurityTool , che parrebbe attualmente venire diffuso anche attraverso mails di spam come si legge in rete sul sito AVIRA “Fake Antivirus “SecurityTool” spreads via Social Security Spam …........”
C'e da rilevare che, anche se Avira afferma “...Avira is detecting the fake antivirus as TR/FakeAV.HA and the backdoor component as BDS/Reberi.A. ...” in effetti una attuale ricerca VT vede solo 6 reali Av riconoscere il pericolo.
Si tratta di un caso abbastanza comune quando si tratta di false applicazioni Av che mutano costantemente codice per eludere maggiormente il loro riconoscimento.
Una interessante particolarita' di questa rogue application e' quella di essere multilingue disponendo anche della scelta della lingua italiana, ma con risultati al limite del comico
Ecco un popup che presenta diverse traduzioni in italiano veramente 'originali'
Si va' dai virus trovati definiti come '...oggetti che infettisono......' sino ad un '..Declino del sistema ….” passando per '..maniccie..' e '...stato indifeso.....' .
Questo e' invece il form di registrazione del prodotto !!! che tra l'altro non sarebbe neanche dei piu' economici se fosse un reale software AV.
Come tutte le applicazioni fasulle Av una volta installata la sua rimozione non sara' delle piu' agevoli, cosa che fa sempre consigliare di informarsi molto bene prima di eseguire sul nostro pc applicazioni di cui non si conosce la provenienza (specialmente se proposte da falsi player online o da mails di spam).
Edgar
Nessun commento:
Posta un commento