Prendendo come riferimento links che appaiono su forum IT in post creati al solo scopo di diffondere malware, si puo' notare che la distribuzione del falso antivirus 'Microsoft Security Essentials' e' tuttora attiva e la riprova e' che il file eseguibile distribuito e' nuovamente quasi sconosciuto ai principali AV in commercio.
Se confrontiamo infatti come un sample del malware veniva riconosciuto il 19 settembre
con i risultati di una odierna scansione
vediamo che siamo praticamente tornati alla situazione che si registrava alla comparsa on-line del fake AV
Nel caso odierno la distribuzione avviene attraverso questo falso sito di filmati porno dal layout gia' noto
come molto noto e' anche l'IP dell'hoster che ospita sia il sito che l'eseguibile
Il file setup.exe eseguito in vbox riconferma essere ancora una volta il noto fake AV
Da notare anche l'icona dell'eseguibile che cerca di far passare il file come rilasciato da Microsoft e la finestra di falsa scansione multipla che cerca di far caricare 5 varianti di un medesimo fake AV abbastanza fastidioso da eliminare dal PC una volta in esecuzione.
Questi i precedenti post al riguardo (qui e qui) dove veniva evidenziato il fatto che il fake AV, una volta installata una della 5 varianti, blocca completamente browsers internet, task manager ecc.... rendendo non facile una bonifica del pc specialmente per utenti non esperti.
Edgar
Se confrontiamo infatti come un sample del malware veniva riconosciuto il 19 settembre
con i risultati di una odierna scansione
vediamo che siamo praticamente tornati alla situazione che si registrava alla comparsa on-line del fake AVNel caso odierno la distribuzione avviene attraverso questo falso sito di filmati porno dal layout gia' noto
come molto noto e' anche l'IP dell'hoster che ospita sia il sito che l'eseguibile
Il file setup.exe eseguito in vbox riconferma essere ancora una volta il noto fake AV
Da notare anche l'icona dell'eseguibile che cerca di far passare il file come rilasciato da Microsoft e la finestra di falsa scansione multipla che cerca di far caricare 5 varianti di un medesimo fake AV abbastanza fastidioso da eliminare dal PC una volta in esecuzione.
Questi i precedenti post al riguardo (qui e qui) dove veniva evidenziato il fatto che il fake AV, una volta installata una della 5 varianti, blocca completamente browsers internet, task manager ecc.... rendendo non facile una bonifica del pc specialmente per utenti non esperti.Edgar
Nessun commento:
Posta un commento