Segnalato in rete, anche su un repository di phishing, un nuovo fake Av che presenta i comportamenti ormai ben noti di questo genere di applicazioni.
Dal report Autoit si nota come in realta' lo screenshot mostri Google search a conferma dell'uso della geo-localizzazione del visitatore del falso scanner antivirus online.
Chi gestisce la distribuzione del fake AV esclude infatti dal link quei paesi considerati probabilmente non 'interessanti' (pochi utenti da cui incassare i soldi della fake registrazione)
Ad esempio nel caso attuale visualizzato si e' usato IP Thai per catturare lo screen venendo reindirizzati su Google.
Come vedremo dall'analisi dell'eseguibile scaricato, abbiamo un comportamento abbastanza 'invasivo' del falso antivirus che arriva a bloccare l'esecuzione dei browser installati sul PC, del task manager ecc... obbligando ad utilizzare un altro computer per scaricare eventuale software di rimozione del fake antivirus dal PC colpito.
Inoltre si nota una insistente proposta di falsi messaggi di allerta che spaziano dall'avviso di esecuzione di script pericolosi sino a quello che informa di aver individuato software di connessione a Torrent.
Vediamo alcuni dettagli:
Il link su server
propone dopo una finestra testuale di avviso (notare che il fake software Av viene fatto passare come 'Windows Antivirus 2012' )
questa pagina dal noto layout di scanner antivirus online.
Sono ormai anni che in maniera ricorrente, pagine piu' o meno simili a questa, propongono il download di un eseguibile fake AV presentato come file di setup
Come succede spesso in questi casi una scansione con Virus Total mostra che sono veramente pochi i reali softwares AV che rilevano il malware.
con
Vediamo ora di eseguire il file scaricato per verificare alcuni dettagli sul falso AV proposto con questa nuova distribuzione
Ecco al momento del run uno screenshot che mostra trattarsi di fake AV denominato 'Windows antivirus release' (notare anche l'apertura di una connessione in rete al momento del run)
Una volta installato il fake AV esegue una falsa scansione con rilevamento di numeroso malware (naturalmente inesistente)
Ecc invece lo screen principale richiamando la falsa applicazione
mentre cliccando sui pulsanti di rimozione del malware si ottiene la richiesta di pagamento della registrazione per attivare il software.
Interessante notare che anche questa volta, in linea con le ultime tendenze dei fake AV, vengano bloccati i browsers installati come ad esempio Internet Explorer
e Firefox
ma vengono anche proposti avvisi random che tentano di giustificare meglio la 'genuinita' del falso Av, come questo
che rileva la presenza (falsa) di client Torrent (condivisione files), che informa delle sanzioni antipirateria previste per chi scarica illegalmente dalla rete con client Torrent ed anche come il fake software Antivirus possa rendere anonima la navigazione Internet per non essere rintracciabili.
Questo un altro messaggio di avviso e di info sul blocco dell'uso di codice Windows
Come si vede un software che cerca di convincere ad effettuare la registrazione a pagamento bloccando praticamente l'uso del PC e rendo complessa anche la sua rimozione
Alcuni dettagli (in lingua inglese) su come rimuovere il malware sono presenti qui
Edgar
Nessun commento:
Posta un commento