Qualche giorno fa avevamo visto una delle varianti al noto ed ormai datato fake AV Microsoft Security Essentials, denominata 'Windows Troubles Analyzer'.
Quella analizzata oggi e' invece una nuova versione, sempre del medesimo fake Av, che viene presentata come 'Windows Debug System'.
Come vedremo in alcuni screenshot l'unica sostanziale diversita' tra i due fake Av sta proprio nel differente nome assegnato al malware, in quanto, sia il layout che il modo di agire del malware , ricordano le precedenti versioni.
Quello che rende interessante questo nuovo fake Av e', piuttosto, come viene proposto l'eseguibile, utilizzando un sito di falsi filmati (ma non solo) estremamente curato nel layout del fake player video
Ecco i dettagli:
Partendo da link su post di forum IT ed attraverso redirect (su sito Wordpress probabilmente compromesso) si giunge a questa pagina
di falso sito sia di filmati porno, ma anche con menu' al top della pagina che farebbe pensare a diversi 'argomenti' selezionabili.
In realta' qualunque click sulle scelte presenti attiva l'avviso di download del fake codec.
Da notare, cliccando sul falso player, la comparsa sull'immagine statica del filmato porno, di barre colorate che simulano un malfunzionamento del lettore multimediale.
Questo un whois della pagina del 'fake' player
Come succede quasi sempre in questi casi il riconoscimento da parte degli AV del file scaricato (falso codec)
e' molto basso
Per verificare la natura del file scaricato , proviamo quindi ad eseguirlo in Virtual Box Linux.
Ecco uno screenshot che permette di 'catalogare' il malware come 'Windows Debug System'
con la conferma al momento del reboot di Windows
dove notiamo identica interfaccia del precedente 'Windows Troubles Analyzer'
ma anche del precedente fake AV 'Windows Software Guard' di inizio febbraio 2011 (vedi dettagli in questo post)
Alcuni consigli su come bonificare il PC da 'Windows Debug System', li trovate qui.
Edgar
Quella analizzata oggi e' invece una nuova versione, sempre del medesimo fake Av, che viene presentata come 'Windows Debug System'.
Come vedremo in alcuni screenshot l'unica sostanziale diversita' tra i due fake Av sta proprio nel differente nome assegnato al malware, in quanto, sia il layout che il modo di agire del malware , ricordano le precedenti versioni.
Quello che rende interessante questo nuovo fake Av e', piuttosto, come viene proposto l'eseguibile, utilizzando un sito di falsi filmati (ma non solo) estremamente curato nel layout del fake player video
Ecco i dettagli:
Partendo da link su post di forum IT ed attraverso redirect (su sito Wordpress probabilmente compromesso) si giunge a questa pagina
di falso sito sia di filmati porno, ma anche con menu' al top della pagina che farebbe pensare a diversi 'argomenti' selezionabili.In realta' qualunque click sulle scelte presenti attiva l'avviso di download del fake codec.
Da notare, cliccando sul falso player, la comparsa sull'immagine statica del filmato porno, di barre colorate che simulano un malfunzionamento del lettore multimediale.
Questo un whois della pagina del 'fake' player
Come succede quasi sempre in questi casi il riconoscimento da parte degli AV del file scaricato (falso codec)
e' molto basso
Per verificare la natura del file scaricato , proviamo quindi ad eseguirlo in Virtual Box Linux.Ecco uno screenshot che permette di 'catalogare' il malware come 'Windows Debug System'
con la conferma al momento del reboot di Windows
dove notiamo identica interfaccia del precedente 'Windows Troubles Analyzer'
ma anche del precedente fake AV 'Windows Software Guard' di inizio febbraio 2011 (vedi dettagli in questo post)
Alcuni consigli su come bonificare il PC da 'Windows Debug System', li trovate qui.
Edgar
Nessun commento:
Posta un commento