venerdì 12 novembre 2010

Ancora fake Av distribuito da falsi posts su forums IT (12 novembre)

Ecco alcuni falsi posts su forums IT

e

che attualmente distribuiscono, attraverso un falso player (in realta' immagine .gif animata) un eseguibile

che viene visto (assai poco) dai softwares presenti in VT.

Anche se la data relativa ai post non e' recente, possiamo notare che, a parte il medesimo autore dei due messaggi, il links presente cliccando sull'immagine che simula il falso player punta ad IP appartenente a range relativo a nazione est europea gia' vista in passato in casi di distribuzione malware.

Appare inoltre evidente come il codice dell'eseguibile proposto venga aggiornato con una certa frequenza per renderne difficoltosa una sua identificazione da parte dei reali softwares AV.

Interessante notare che l'immagine gif animata presente nei due posts sui forum come anche nel sito finale che distribuisce il malware e' linkata da questo folder che mostra alcune immagini anch'esse animate da utilizzare in altri probabili tentativi di distribuire fake AV o altro malware.

Per confermare la natura di fake AV del file movie.exe proviamo ad eseguirlo in windows XP in Vbox Linux ottenendo questo noto falso scanner AV

Edgar

Nessun commento: