AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links a pagine/siti dai contenuti spesso poco affidabili (possibile presenza di malware, exploit ecc....)
A distanza di qualche giorno da questo post, che evidenziava la presenza di una distribuzione do fake AV tramite codici inclusi su siti IT legittimi, e dai successivi aggiornamenti, ecco la situazione attuale che vede tornare ad un basso riconoscimento (in pratica quasi nullo) del malware, quando analizzato con Virus Total.
Una analisi degli 'email updates' ricevuti settando le opportune parole chiave in 'Google Alerts' mostra che i siti compromessi (anche se non nelle ultime ore) sono parecchi e continuano a proporre links ad eseguibili sempre aggiornati a dimostrazione di una 'campagna' di distribuzione malware molto attiva e che, almeno per il momento, continua coinvolgere decine di siti IT.
Questi solo alcuni dei siti proposti da una recente e-mail 'G.Alerts' in cui si evidenzia l'appartenenza sempre a medesimo range IP di hosting, come gia' visto nei precedenti posts:
e
e
ed anche
Chiaramente le pagine incluse (anche se in numero minore) possono essere trovate attraverso altri motori di ricerca come vediamo in una attuale ricerca Bing,
dove cliccando sul risultato abbiamo medesimo reindirizzamento a fake scanner AV e relativo eseguibile.
Alternativamente al 'click' sul risultato di ricerca possiamo, attraverso l'utilizzo di opportuno referer, attivare lo script presente
che redirige su
da cui scarichiamo l'eseguibile, che analizzato con VT mostrava ( e continua a mostrare al momento di scrivere il post)
con la conferma del quasi nullo riconoscimento:
Per verificare se trattasi sempre del medesimo fake AV visto qui, proviamo ad eseguire il file scaricato in Vbox Linux ottenendo
Come si nota confrontando lo screenshot con quello ottenuto nella precedente analisi , pur rimanendo identico il nome del file eseguibile, abbiamo un diverso nome di fake AV proposto e precisamente ' Win 7 Internet Security 2011' a differenza del precedente 'Win 7 Home Security'
Si tratta in ogni caso della 'ennesima' variante del medesimo fake AV che in maniera particolarmente 'aggressiva' si installa sul PC bloccando di fatto ogni tentativo di connessione alla rete dei browsers e l'esecuzione di programmi quali Task-manager ecc....
Edgar
Nessun commento:
Posta un commento