lunedì 25 ottobre 2010

ThinkPoint ovvero un altro fake AV variante del gia' noto Fake Microsoft Security Essentials. (24 ottobre)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare il sito elencato se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....).

L'ormai molto noto Fake Microsoft Security Essentials (ne scrivo in questi post - 1 , 2 e 3) sembra avere una nuova variante attualmente in fase di diffusione in rete attraverso anche i soliti canali rappresentati da falsi post su forum IT

Ecco uno di questi attuali post su forum IT

e nel dettaglio la serie di redirect al solito clone porno di Youtube

che propone sotto forma di falso activex object, indispensabile per visionare i filmati porno presenti, questo file eseguibile


identificato come pericoloso da pochi dei software presenti in VT

Un whois del sito di falsi filmati (e di hosting dell'eseguibile) rivela un IP apartenente a range ampiamente presente in precedenti azioni di distribuzione di falsi antivirus tra cui il ben noto fake Microsoft Security Essentials.

Per avere una conferma sulla reale natura del file scaricato proviamo ad eseguirlo in Vbox in ambiente linux, onde evitare spiacevoli problemi.

Ecco cosa succede al momento dell'esecuzione del file

Si tratta di una finestra di avviso praticamente uguale a quella che gia' conoscevamo per il Microsoft Security Essentials (vedi screenshot seguente)


Notate come in questo caso appare anche, come conseguenza dell'esecuzione del fake Av, un semplice file .bat

utilizzato probabilmente dal malware per ripulire il folder della presenza dell'eseguibile una volta che il software si e' installato.

Come al solito il passo successivo e' la proposta di una finestra di avviso che informera' della presenza di malware sul pc e che consigliera' di installare una versione trial di ThinkPoint.


C'e' da ricordare inoltre che dal momento della comparsa della prima finestra di avviso il task manager ed altri programmi quali i browsers presenti, risultano non piu' eseguibili come gia' succedeva per Microsoft Security Essentials .

Cliccando quindi sul pulsante OK avremo un reboot del sistema con comparsa al riavvio di Windows di un desktop privo di icone ma solo con questa finestra che ci informa dell'avvenuta installazione del software e della sua esecuzione (stretta analogia con ilprecedente Microsoft Security Essentials)

E' importante sottolineare come questo sia uno degli unici momenti , per questo particolare software fake Av, nel quale le funzionalita' del task manager non sono inibite, cosa che ci permettera' di 'riguadagnare' l'accesso al desktop ed al browser.

Se infatti eseguiamo ora la sequenza ben nota Ctrl -Alt -Canc abbiamo la comparsa del task manager e la possibilita' di terminare il task denominato hotfix.exe che e' poi quello relativo a ThinkPoint

Una volta terminato il task, rilanciando explorer.exe dal menu file, potremo ritornare in presenza del nostro desktop che era stato bloccato dal malware.

e passare poi alla rimozione del fastidioso AV fasullo attraverso le istruzioni presenti in rete ad esempio qui

E' bene ricordare che il software modifica anche il file registro di Windows alla chiave

forzando al riavvio il caricamento dello stesso hotfix.exe invece che di explorer.exe. Se questa chiave non viene ripristinata ci ritroveremo al riavvio con solamente la schermata iniziale di ThinkPoint ed il desktop privo di icone.

Esaminando nel dettaglio i contenuti del falso Av si scopre che questo viene installato come eseguibile nel folder

Oltre al file del fake AV che prende il nome di hotfix.exe abbiamo anche un piccolo file che contiene semplicemente il testo 'complete'

Si tratta di un file che funge da flag per segnalare all'eseguibile che lo stesso si deve comportare in maniera diversa da quando invece viene lanciato la prima volta.

Ecco infatti che lanciando l'eseguibile con il file 'flag' install presente otteniamo la finestra gia' vista dopo il reboot a malware installato

mentre cancellando il file 'install' e lanciando solo hotfix.exe (l'eseguibile di ThinkPoint) otteniamo la ripetizione di quanto visto durante la procedura di installazione di ThinkPoint.

La riprova e' che il file hotfix.exe e' semplicemente lo stesso setup.exe scaricato dal sito ma solo ridenominato .(anche stessa risposta VT e codici hash)

Si vede quindi che si tratta del medesimo file eseguibile che sfruttando la presenza o meno del file chiave 'install' si comporta come software di installazione o come fake scanner AV

Chiaramente questo AV fake con comportamento praticamente identico ai falsi AV visti nel caso di Microsoft Security Essentials , se non bonificato dal pc rendera' impossibile l'uso sia dei browsers ma anche di altri software presenti sul pc e presentera' al posto della loro esecuzione questo messaggio

con la possibilita' di richiamare una ulteriore finestra che ci invitera' a registrare il prodotto

La cura con cui viene codificato un fake av come questo la possiamo vedere anche nel layout dei menu visualizzati

anche al termine della falsa scansione e che permettono di RI-attivare il desktop ma in maniera limitata (inibiti sia i browsers che task manager ecc...)

oppure contattare il sito per l'acquisto del falso antivirus.


Edgar

Nessun commento: