AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links ad eseguibili molto spesso poco riconosciuti dai softwares AV.
A distanza di qualche settimana dalla ultima analisi di falso antivirus ecco una nuova variante del noto Fake Microsoft Security Essentials, che viene distribuita da questo forum IT
e che possiamo identificare come Windows Stability Center
Anche nel caso odierno, da notare come i falsi post presenti risultino aggiornati, quasi in tempo reale, permettendo la diffusione di nuove varianti dell'eseguibile appena disponibili in rete.
C'e' anche da ricordare che, nella maggior parte dei casi analizzati, i falsi post servono a chi vuole diffondere un file pericoloso, non tanto per proporre i links agli utenti del forum stesso, ma piuttosto per fare in modo che i motori di ricerca indicizzino i collegamenti.
Inoltre sfruttando proprio la struttura stessa del forum, chi vuole distribuire links aggiornati, trova molto facile pubblicare ad intervalli di tempo brevi i posts fake, mantenendo cosi on-line links a malware aggiornatissimi.
E' il caso di uno dei links presenti nei posts del forum IT esaminato oggi che punta, dopo una serie di redirects, a questa pagina di falso player video:
che tenta di far scaricare un eseguibile poco visto, dai softwares Av in VT
Da notare che il dominio Co.CC utilizzato e' relativo ad un servizio free koreano che permette la registrazione gratuita di dominio e la gestione dei relativi DNS - 'Free domain with DNS service”
cosa che spiega come, pur essendo il fake player su Co.CC, un whois punti a
Come sempre, per verificare di quale fake AV si tratta, proviamo a lanciare il programma in VirtualBox Linux.
Questa la schermata di avvio
che gia' dalla consueta finestra di installazione mostra il nuovo fake Av come Windows Stability Center
Una volta riavviato il PC abbiamo sia la conferma del nuovo 'nome' del fake AV
ma anche quella di una delle caratteristiche 'invasive' del software appena scaricato
Infatti, ogni tentativo sia di lanciare il task manager, per terminare il task malevolo
che attivare il nostro browser, alla ricerca di una soluzione di rimozione del malware,
mostreranno solo una finestra di avviso generata dal fake AV.
In pratica, come facevano gia' i precedenti cloni del Fake Microsoft Security Essentials, verra' bloccato ogni tentativo di utilizzare il task manager ed i browsers installati sul PC.
Quanto riportato da www.bleepingcomputer.com in data di ieri (31 marzo) conferma la recente comparsa di questa nuova variante di fake AV ed anche
'… It is possible that the infection you are trying to remove will not allow you to download files on the infected computer .....”
il blocco del browser e del task manager.
Lo stesso articolo riporta inoltre alcuni consigli, utili alla rimozione del falso antivirus.
Edgar
Nessun commento:
Posta un commento