lunedì 6 giugno 2011

Distribuzione fake AV.Sempre estremamente basso il riconoscimento e probabile alta diffusione di siti compromessi con link al falso scanner AV online

AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links a pagine/siti dai contenuti spesso poco affidabili (possibile presenza di malware, exploit ecc....)

L'intensaita' della distribuzione dei fake Av come 'Win 7 Internet Security 2011', 'Win 7 Home Security' ecc... vista nei precedenti post merita ancora qualche ulteriore chiarimento sia riguardo al basso riconoscimento del falso antivirus, che alla intensa 'campagna' di distribuzione dello stesso tramite siti compromessi e non solo IT.

Iniziamo col verificare attualmente lo stato di riconoscimento del falso software antivirus scaricando l'eseguibile proposto attualmente da uno dei tanti siti IT

attivi nell'ospitare i codici inclusi

ricordando sempre i limiti di una scansione on-line on-demand di VT (es. la possibilta' che un software Av si comporti in maniera differente e riconosca il malware al momento della sua esecuzione sul reale PC dove si trova installato rispetto al test VT (differente ambiente di test, esecuzione con differenti parametri di setup ecc...))

Come si vede dall'attuale report VT ( analisi delle ore 14 UTC, quindi le 16 IT del 6 giugno)

il numero di softwares che riconoscono il file come pericoloso rimane stabile a 3 (tre !) se confrontato con il report eseguito circa 24 ore fa (serata d ieri ora thai)

con la sola differenza che Kaspersky viene sostituito da McAfee che prende il suo posto nel report.

Appare quindi evidente che l'azione di modifica dei sorgenti del malware allo scopo di evitare il riconoscimento da parte dei reali softwares AV e gli 'aggiornamenti' quasi ogni ora dei links al falso scanner AV online,come visto in una analisi precedente, siano tuttora presenti..

Come gia' scritto in precedenti post e' pensabile che non solamente siti IT siano coinvolti in questa elevata distribuzione di fake AV e quindi vediamo di analizzare se e quanto sono presenti nei risultati di una ricerca in rete anche altri domini non IT.

Per fare questo esaminiamo il sorgente della pagina presente sul sito IT, che linka al fake AV tramite il sito compromesso visto prima:

Possiamo notare decine di keywords (che sono normalmente indicizzate dal crawler del motore di ricerca) e quindi eseguiamo una ricerca per siti non IT utilizzando queste parole chiave :

Come c'era da aspettarsi i risultati sono centinaia, e cliccando su uno scelto a caso tra i tanti, viene presentato lo stesso indirizzo visto nel caso del precedente relativo al sito IT.

Un whois del sito mostra IP

Visto che abbiamo utilizzato solo un numero limitato di parole chiave e' da pensare che in realta' i siti che vengono utilizzati per fornire un link al fake Av siano migliaia e tutti probabilmente con i links aggiornati in temo reale all'ultima versione del fake AV.

La riprova che si tratta di inclusioni recenti la abbiamo anche analizzando la cache dei risultati Google da cui si puo' vedere che le date risalgono, anche per i link piu' datati, solo a qualche giorno fa.

Edgar

Nessun commento: