mercoledì 15 giugno 2011

'Who is gabriella reece'. Ancora molto attiva la distribuzione in rete di falsi softwares AV (15 giugno)

Anche se le parole chiave della ricerca sono in chiaro, evitate di seguire i links proposti dal motore di ricerca se non avete preso tutte le dovute precauzioni.
E' vero che si tratta probabilmente solo di falsi AV ma, a parte la laboriosa bonifica necessaria se si installasse 'per sbaglio' il software scaricato, non e' mai da escludere che insieme al falso Av non venga attivato qualche malware piu' pericoloso.

Questa una attuale pagina di sito IT compromesso che mostra la presenza della stringa di testo 'Who is gabriella reece'

utilizzata per creare risultati che possano linkare siti costruiti appositamente per distribuire malware sotto forma di falsi AV

La possibilita' che detto testo appaia in differenti pagine incluse su siti anche non IT la abbiamo effettuando appunto una ricerca attraverso Google ed ottenendo

con centinaia di pagine indicizzate e per uno dei siti trovati anche l'indicazione di "Google Safe Browsing Diagnostic page"

Le date presenti nei risultati di ricerca, anche per il sito IT compromesso visto ora,

indicano che l'inclusione dei codici nei siti e' recente se non attuale, e che comunque gli script presenti puntano sempre a pagine di fake scanner AV create da da poche ore


Non stupisce quindi che il malware distribuito se analizzato con VT attualmente, mostri

con riconoscimento sempre molto basso


In effetti si potrebbe anche obiettare che un basso riconoscimento sia giustificato dal fatto che, tutto sommato, si tratta 'solamente' di falso Av e non di malware piu' pericoloso.

A mio avviso ci sono comunque alcune buone ragioni perche' un reale software AV debba possibilmente identificare anche codice incluso come quello visto adesso:

Una prima considerazione riguarda la possibilita' che comunque un software fake AV (simile a quelli visti in questi giorni) data la cura con cui e' realizzato (layouts molto complessi, differenti versioni a seconda dell'O.S. usato ecc.... ) potrebbe benissimo contenere non solo la falsa applicazione antivirus ma anche del malware piu' pericoloso (es trojan ecc...).

Piu' importante il fatto che le conseguenze di una installazione di uno di questi eseguibili 'fake AV' produce il blocco quasi totale dell'accesso in rete e l'impossibilita' dell'esecuzione di numerosi softwares presenti sul PC con prevedibili conseguenze, senza dimenticare che anche la rimozione dell'applicazione AV fasulla potrebbe essere molto laboriosa e fuori dalle conoscenze di base di un normale utente PC.

Edgar

Nessun commento: