venerdì 3 giugno 2011

Win 7 Home Security. Un altro 'aggressivo' falso antivirus distribuito attualmente anche da siti .IT compromessi (3 giugno)

Qualche giorno fa con QUESTO POST evidenziavo la presenza in rete di parecchi siti .IT compromessi con inclusione di pagine 'costruite' appositamente per linkare, tramite i risultati di una ricerca in rete,ad un eseguile poco o praticamente NON riconosciuto da una scansione Virus Total.
Un aggiornamento del 30 maggio mostrava che l'attivita' di distribuzione del malware continuava sempre utilizzando la stessa tecnica con redirects a siti su differenti servers che proponevano, trami la 'nota' interfaccia di fake scanner AV online, un eseguibile sempre poco riconosciuto.

Vediamo ora di analizzare in dettaglio il file proposto che scopriremo appartenere ad una 'famiglia' di 'rogue apllication' AV molto vasta e di cui vediamo alcuni nomi di varianti presenti in rete (fonte http://www.bleepingcomputer.com)

Per Windows 7 :


Win 7 Anti-Virus
Win 7 Anti-Virus 2011
Win 7 Anti-Spyware
Win 7 Anti-Spyware 2011
Win 7 Home Security
Win 7 Home Security 2011
Win 7 Total Security
Win 7 Total Security 2011
Win 7 Security
Win 7 Security 2011
Win 7 Internet Security
Win 7 Internet Security 2011

Per Windows Vista :
Vista Anti-Virus
Vista Anti-Virus 2011
Vista Anti-Spyware
Vista Anti-Spyware 2011
Vista Home Security
Vista Home Security 2011
Vista Total Security
Vista Total Security 2011
Vista Security
Vista Security 2011
Vista Internet Security
Vista Internet Security 2011
Per Windows XP :

XP Anti-Virus
XP Anti-Virus 2011
XP Anti-Spyware
XP Anti-Spyware 2011
XP Home Security
XP Home Security 2011
XP Total Security
XP Total Security 2011
XP Security
XP Security 2011
XP Internet Security
XP Internet Security 2011

Si tratta di un fake AV che presenta, ( come si riscontra attualmente anche con i falsi software di sicurezza derivati tutto od in parte dal noto gruppo di applicazioni ' Fake Microsoft Security Essentials ') un 'comportamento' alquanto 'aggressivo' che vede sia una proposta di messaggi fake di allerta veramente elevata ma anche il blocco del o dei browser in uso sul PC.

Che l'attivita' di 'distribuzione' del malware sia attualmente attiva lo notiamo da questa parziale ricerca in rete che ci mostra indicizzazione delle pagine incluse:

su sito IT con whois (alcuni dei siti IT coinvolti parrebbero essere tutti hostati su questo range IP)

che presentano time recente

Attraverso redirects si arriva al fake scanner AV:

da cui salviamo l'eseguibile che ad una analisi VT


presenta un sempre basso riconoscimento

A questo punto andiamo ad eseguire il malware in VBox Linux ottenendo

Una delle caratteristiche piu' interessanti di questo fake AV, che vediamo attivo nella variante “Win 7 Home Security”, e' una intensa azione di hijacking delle applicazioni che normalmente usano internet quali ad esempio i browsers:

Oltre ad indicare l'applicazione come compromessa da virus

il software sostituisce la pagina browser caricando in alternativa questo allerta

screenshot Explorer

screenshot Firefox

e bloccando di fatto la navigazione

Qui vediamo invece un dettaglio della notevole quantita' di connessioni di rete stabilite dal malware (report ANUBIS)

che puntano ad urls che parrebbero essere legate alla distribuzione del fake AV


Alcuni dettagli su come bonificare il PC da questo fake Av li trovate QUI anche se, ancora una volta, come gia' succede con le varianti di ' Fake Microsoft Security Essentials ', si tratta di operazioni forse non alla portata di tutti in quanto e' anche probabile che occorra utilizzare un diverso PC per eseguire il download di quanto necessario ad eliminare dal PC il malware.

Edgar

Nessun commento: