martedì 21 giugno 2011

User Agent e malware. Una specifica 'fake' pagina di 'security alert' per Google Chrome (21 giugno)

Anche se le parole chiave della ricerca ed alcuni links sono in chiaro, evitate di seguire i links proposti dal motore di ricerca se non avete preso tutte le dovute precauzioni.
E' vero che si tratta probabilmente solo di falsi AV ma, a parte la laboriosa bonifica necessaria se si installasse 'per sbaglio' il software scaricato, non e' mai da escludere che insieme al falso Av non venga attivato qualche malware piu' pericoloso.

Proseguendo nell'analisi delle differenti risposte malware a variazioni dello 'User Agent', in relazione ai links proposti da false pagine incluse su siti anche .IT, ritorniamo a verificare un sito su hoster IT ottenuto attraverso questo risultato di ricerca Google:

Oltre a quanto visto ieri per pagine su sito con whois USA anche su questa odierna (ancora una volta su IP di hoster ligure)

abbiamo diversi layout di falso scanner AV linkati a seconda dell'User Agent in uso.

In pratica lo scenario attuale ricalca quello illustrato nel precedente post con pagine e relativo eseguibile differenti a seconda di OS Microsoft, Apple, Linux ma anche per diversi dispositivi mobili ecc.....

L'ulteriore analisi odierna permette in piu' di rilevare una nuova 'fake' pagina di 'security alert' quando utilizziamo un User Agent relativo al noto browser Google Chrome.

Questo un dettaglio del menu dell'addon “Firefox UserAgent Switcher

mentre questa la pagina linkata

Si tratta di una pagina che vuole riprodurre una allerta malware con scansione del PC e in automatico il download di un eseguibile probabile fake AV.

Da notare che il nome dell'eseguibile e' diverso da quello linkato da altre pagine di fake scanner Windows ed inoltre ad ogni download, anche ad intervalli di qualche secondo parrebbero variare i contenuti del file, come vediamo da questa analisi di alcuni di quelli scaricati:

(notare anche la variazione di parte del nome del file)

Una analisi VT mostra attualmente un riconoscimento abbastanza basso dei contenuti malware

con report

Edgar

Nessun commento: