venerdì 27 agosto 2010

Proposta multipla di fake AV. Cosa succede installando gli eseguibili.

Nel precedente odierno post abbiamo visto come venga effettuata, attraverso un sito fake di scansioni multiple online (e con supporto anche di un video), la distribuzione di ben 5 diversi eseguibili fake AV

Vediamo ora cosa succede installando qualcuna delle applicazioni fake AV presenti.
Il test e' stato eseguito su XP sp3 in Virtual Box sotto Linux, cosa che se da un lato puo' avere qualche limite considerato che siamo su PC virtuale dall'altro ci fornisce comunque una indicazione accettabile di cosa succederebbe ad un normale utente internet che lanciasse uno degli eseguibili scaricati dal sito di fake scanner online.

Ecco la finestra di install di Pest Detector 4.1

che in pochi secondi ci informa della sua corretta installazione sul nostro pc.

Come accennato nel precedente post, una volta confermata l'installazione abbiamo il reset del computer e da qui inizia una serie di problemi, tutti abbastanza seri.

Non si tratta infatti di fake AV che si limita a visualizzare qualche fastidioso menu pop-up dicendo che il nostro PC e' infetto ma, nei casi esaminati, abbiamo inizialmente la scomparsa di tutte le icone dal desktop, barra delle applicazioni, menu' di avvio ecc....

sostituiti una unica finestra con un solo pulsante di “Safe Startup” abilitato.

Una volta cliccato compare una indicazione di attivazione della scansione del PC

e , guarda caso, il fatto che alcune applicazioni, tra cui i browsers installati, non possono venire 'bonificati, dal malware che gli ha colpiti.

Questo accade perche' veniamo informati che un 'fantomatico' HEURISTC module che dovrebe servire a rimuovere il malware, e' disponibile solo a pagamento registrando il programma fake AV

Scegliendo “continue unprotected” le icone riappaiono ma purtroppo cliccando su quelle dei browser segnalati dalla scansione come infetti ecco un messaggio

che ci informa del blocco dell'esecuzione degli stessi in quanto infetti

In pratica sia i browser ma anche altri eseguibili vengo bloccati dal fake AV lasciandoci senza l'uso di internet , cosa che ci servirebbe per trovare qualche indicazione per bonificare il computer.

Lanciando uno degli altri eseguibili di installazione possiamo notare medesimi layout di scanner e di messaggi da parte del software, cambiando solo i colori ed alcune scritte relative all'identificazione del falso AV in esecuzione.

Una analisi della connessione al lancio dell'install mostra

cosa che conferma il nome di hoster Est Europeo apparso proprio qualche giorno fa, al riguardo di altri fake Av distribuiti in rete.

Edgar

Nessun commento: