sabato 30 ottobre 2010

Ancora falsi AV da links su siti IT compromessi. Ancora ThinkPoint come variante del molto diffuso Fake Microsoft Security Essentials (30 ottobre)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....).

Questa una serie di links attualmente presenti come messaggi di Instant Messenger in una pagina di sito IT

I links puntano a sito compromesso che visualizza un noto layout di accesso a sito con contenuti porno

con scelte che puntano, comunque tutte e due (enter e exit) al consueto flash player installer su sito di falsi filmati

attualmente con whois

Ad una analisi VT il file non e' molto riconosciuto dai reali softwares AV

Eseguiamo quindi in Vbox il file fake "flash_player_installer.exe" ottenendo

da cui

che ci mostra chiaramente che siamo nuovamente in presenza del fake AV ThinkPoint come variante del ben noto Fake Microsoft Security Essentials.

Una analisi della connessione stabilita al momento dell'esecuzione del falso AV mostra


con IP


Risulta evidente come per questo particolare software fake AV ci sia una campagna di diffusione al momento ancora molto attiva visto che negli ultimi giorni il malware e' risultato presente in molte della analisi di siti compromessi che compaiono anche su questo blog.
Inoltre come visto in questo post, parrebbe esserci anche un tentativo di proporre il malware attraverso un sistema di download ed esecuzione automatica del fake AV senza che ci sia interazione con l'utente come succede invece normalmente in questi casi e che consiste in: pagina in browser di falso scanner ---> proposta di download dell'eseguibile ---> eventuale 'run' del file da parte dell'utente internet.


Ecco invece un altro sito IT attualmente compromesso che propone un falso player

con link tramite redirect

a falso scanner online AV sempre con il medesimo layout visto ormai da parecchio tempo, e che propone un eseguibile

con riconoscimento basso

Questa volta un whois mostra una provenienza del malware da paese gia' visto ieri nel caso del fake Microsoft Security Essential .

Eseguendo il file in Vbox

otteniamo l'installazione sul nostro PC di un altro ben noto fake Av molto diffuso in rete.

Edgar
Posted by at

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)