Una verifica, questa mattina ora thai (le 4 AM circa del 13/6 in Italia) mostra come gli eseguibili distribuiti dai links ottenuti da una ricerca in rete e gestiti tramite pagine incluse anche su siti IT compromessi, siano praticamente sconosciuti ad una analisi VT:
Questo il file proposto dal falso scanner AV online
che mostra rispetto ad ieri un ulteriore decremento del numero di softwares che riconoscono il file
La 'campagna' di distribuzione falsi Av sembra essere sempre ben supportata sia da vecchi siti compromessi che da 'nuovi' in quanto una attuale ricerca in rete mostra ad esempio questo sito IT
che , tra l'altro, oltre ad essere presente in risultato di ricerca indicizzato da poche ore da Google, evidenzia un IP diverso da quelli 'soliti' di hoster ligure visti i giorni scorsi.
Come si nota la pagina inclusa presenta numerose immagini utili a comparire anche in eventuali ricerche Google Images.
Oltre ai probabili nuovi siti per hostare le pagine nascoste abbiamo anche la conferma di come il 'nome' del malware fake Av linkato venga variato anche per 'run' successivi dello stesso eseguibile scaricato.
Utilizzando infatti Sandboxie si puo' facilmente eseguire piu' volte lo stesso file scaricato dal sito di falso scanner AV online, senza dover resettare la VBox, ottenendo differenti risultati:
Ecco ad esempio come ripetute esecuzioni del loader portino ad 'installare sul PC un 'Windows 7 Antivirus 2012'
ma ad una successivo run del loader un 'Win 7 Antispyware 2012'
seguito da 'Windows 7 Home Security 2012'
Inoltre, come visto ieri, a seconda dell'o.s. in uso avremo differenti layout in linea sia con XP
con Windows 7 ma probabilmente anche, per chi utilizza Vista, verra' installato un fake AV con nome e layout adeguati.
Un whois del dominio che attualmente ospita il fake scanner AV mostra data recente a conferma di una attuale ed ancora molto attiva distribuzione di falsi AV.
Edgar
Questo il file proposto dal falso scanner AV online
che mostra rispetto ad ieri un ulteriore decremento del numero di softwares che riconoscono il file
La 'campagna' di distribuzione falsi Av sembra essere sempre ben supportata sia da vecchi siti compromessi che da 'nuovi' in quanto una attuale ricerca in rete mostra ad esempio questo sito IT
che , tra l'altro, oltre ad essere presente in risultato di ricerca indicizzato da poche ore da Google, evidenzia un IP diverso da quelli 'soliti' di hoster ligure visti i giorni scorsi.
Come si nota la pagina inclusa presenta numerose immagini utili a comparire anche in eventuali ricerche Google Images.
Oltre ai probabili nuovi siti per hostare le pagine nascoste abbiamo anche la conferma di come il 'nome' del malware fake Av linkato venga variato anche per 'run' successivi dello stesso eseguibile scaricato.
Utilizzando infatti Sandboxie si puo' facilmente eseguire piu' volte lo stesso file scaricato dal sito di falso scanner AV online, senza dover resettare la VBox, ottenendo differenti risultati:
Ecco ad esempio come ripetute esecuzioni del loader portino ad 'installare sul PC un 'Windows 7 Antivirus 2012'
ma ad una successivo run del loader un 'Win 7 Antispyware 2012'
seguito da 'Windows 7 Home Security 2012'
Inoltre, come visto ieri, a seconda dell'o.s. in uso avremo differenti layout in linea sia con XP
con Windows 7 ma probabilmente anche, per chi utilizza Vista, verra' installato un fake AV con nome e layout adeguati.Un whois del dominio che attualmente ospita il fake scanner AV mostra data recente a conferma di una attuale ed ancora molto attiva distribuzione di falsi AV.
Edgar
Nessun commento:
Posta un commento