mercoledì 15 settembre 2010

Fake 'Microsoft Security Essentials' 5 pericolosi Fake AV attraverso una falsa scansione online multipla (15 settembre)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare il sito elencato se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links ad eseguibili poco riconosciuti dai reali softwares AV.

Da qualche giorno si nota , in rete, una insistente campagna di distribuzione di un file eseguibile attraverso decine di forum anche italiani , sui quali compaiono falsi post, ad intervalli di pochi minuti l'uno dall'altro.

In questi due screenshot vediamo appunto la sequenza dei messaggi fake come appare questa mattina su due forum IT

ed anche

Il layout tipico di uno di questi post lo vediamo nel seguente screenshot

Possiamo distinguere:

al top del messaggio alcune foto (in genere a carattere porno) che presentano un link , tramite vari siti intermedi, alla pagina che distribuisce il malware.

Subito sotto le immagini una lista di links che punta sia a siti creati allo scopo di redirigere poi sullo stesso sito con malware, sia links a servizi web free (bbs, altri forum ecc...) che a loro volta puntano al sito finale con malware.

Inframezzato nella lunga lista di link un blocco di solo testo dai contenuti anche in questo caso porno che serve ad aumentare la visibilita' del post ai motori di ricerca per far comparire il messaggio ai primi posti dei risultati di una ricerca in rete.

Dopo questa premessa, esaminiamo 'il percorso' che partendo dal click ad esempio su una immagine, porta , tramite alcuni siti intermedi

a questo, uguale per tutti i links presenti su diversi forum,

dal layout e da un whois ampiamente noti.

Cliccando su una delle false anteprime di filmato on-line viene proposto un file eseguibile ,

che come succede da alcuni giorni , e' praticamente sconosciuto agli Av presenti su Virus Total.

Come gia' fatto in passato uno dei modi piu' semplici per verificare la natura del file proposto , e' quella di eseguirlo in un ambiente isolato dal resto del pc, onde evitare 'spiacevoli conseguenze'.

Questo il primo messaggio di avviso che ci presenta il file come una applicazione Microsoft definita Microsoft Security Essential.


che illustra il file considerato dal falso Av come pericoloso..

Un tentativo di usare l'opzione presente 'clean computer', viene simulato come inefficace, cosa che ci costringera' a cliccare su Scan Online.

La presunta scansione online si attiva e ci mostra una finestra che ripropone quanto gia' evidenziato in passato in questo post; si tratta di un elenco dettagliato e molto curato nel layout che visualizza i loghi dei piu' conosciuti software antivirus con a fianco, una barra di avanzamento scansione, che simulera' una analisi multipla del nostro PC.

Come si vede scorrendo la lista delle applicazioni antivirus ne compaiono, oltre a quelle note, 5 con nomi di fantasia, e che, guarda caso, saranno le uniche a rilevare la minaccia sotto forma di trojan.

Chiaramente chi giungesse a questo punto della scansione, sara' portato a cliccare su uno dei pulsanti 'installa',

cosa che fara' comparire il programma personalizzato a seconda del software selezionato.

Anche in questo caso, notiamo con quale cura si siano creati i layout dei messaggi relativi al programma , con la presenza anche di un testo di licenza d'uso ,confermata la quale abbiamo lo 'start' dell'installazione vera e propria


Una analisi del traffico generato,vede il download, del file di install , dallo stesso hoster che ospita le false pagine del player video.

Dopo qualche secondo , ecco terminata l'installazione, con il restart del PC.
Gia' a questo punto, anche senza riavviare il pc, l'accesso al nostro browser,al task manager e ad altri programmi risulta inibito dal falso software AV

Al riavvio del pc, come gia' descritto in passato, ci ritroveremo con il desktop vuoto ed una unica finestra che mostra un solo pulsante di “Safe Startup” abilitato .

Di seguito avra' inizio un scansione (simulata del PC) come gia' descritto qui e la conseguente proposta di 'registrarsi' a pagamento

per ottenere una copia del falso AV attiva anche contro quei malware che non sono eliminabili utilizzando la versione FREE del software.

I falsi programmi antivirus , come abbiamo visto al momento della scansione multipla online, sono 5 e per tutti e cinque abbiamo comportamenti simili con la sola differenza della grafica utilizzata (colori, loghi, ecc)

La pericolosita' di questa distribuzione, che possiamo denominare “Microsoft Security Essentials Alert Trojan” sta nel fatto che tutti e 5 gli AV bloccano sia i browsers che programmi quali il task manager impedendo di fatto, specialmente per un utente non esperto, di accedere a risorse in rete per capire come bonificare il malware e con in piu' l'impossibilita' di usare il task manager per tentare di bloccare l'applicazione antivirus fasulla.

Una delle conseguenze potrebbe essere la necessita' di dover disporre di un altro computer per scaricare dalla rete i tools utili a bonificare il pc colpito.

Alcune istruzioni su come ripulire il pc da questo fastidioso falso AV le trovate qui

Edgar

4 commenti:

Unknown ha detto...

Ciao, è bellissimo il tuo blog e contiene molte informazioni utili. Volevo però sapere che tool utilizzavi per creare la site-map completa dei siti web che analizzi. Inoltre, che tool è quello che usi per il trace dei redirect?

Grazie, ciao :)

Edgar Bangkok ha detto...

La visualizzazione della struttura di un sito si puo' fare con diverse utilities scaricabili dalla rete.
A volte utilizzo anche piccoli programmi che creo in Autoit come ad esempio quando voglio visualizzare la struttura del sito partendo dai risultati di una ricerca Google.
Alcuni screenshot che vedi nel blog sono anche creati usando la versione free di Acunetix Web Vulnerability Scanner che nella versione free anche se limitato nell'analisi crea comunque la struttura del sito.
Anche il software comunque non visualizza mai la struttura completa in quanto possono esistere folder nascosti o comunque non esplorabili dallo scanner.
I redirect si possono analizzare manualmente, o con l'ausilio di programmi o anche di siti che eseguono la scansione della url come ad esempio www.wheregoes.com .

Unknown ha detto...

Grazie molte per la risposta. Ho visto approposito di Autoit e lo considero un framework veramente molto utile. Grazie ancora per le dritte (ti leggo ogni giorno, molto interessante il tuo blog).

Unknown ha detto...

Posso inoltre consigliarti di registrarti presso www.mywot.com? Essendo un sito addentro a queste cose, partecipando al forum e alle investigazioni condotte da me e da altri membri di WOT. C'è per esempio g7w che è molto bravo con le truffe e le fregature. Io sono MassimilianoF. Visita anche il mio sito http://www.massimilianoforner.it :-)
Spero di ritrovarti su WOT ;-)