domenica 21 ottobre 2007

Molti nomi per la stessa pagina ......

Abbiamo visto in precedenti post siti di falsi antivirus internet; di solito si tratta di software che installati sul computer, come minimo, generano falsi allerta virus per indurre chi li sta usando a registrare, a pagamento, il prodotto per poter eliminare le minacce segnalate.
Come ormai di consueto sono pubblicizzati da pagine con grafica accurata, per rendere piu' plausibile l'autenticita' del programma.
Il problema. se cosi' si puo' dire, e' che usano la lingua inglese ma c'e' anche chi ha pensato di creare qualcosa per gli utenti italiani di internet.
Questi che seguono sono alcuni screenshot di un antiivirus, segnalato da Symantec come applicazione antivirus fasulla e che appare anche in MCAFEE Site Advisor come applicazione pericolosa.
Per una stessa pagina esistono differenti denominazioni del programma che tentano di simulare un nome di antivirus credibile.
Attualmente non esiste la versione demo ma bisognerebbe scaricare a pagamento il programma e questo forse e' utile a limitarne la diffusione.
Un'altra cosa da evidenziare e' che in nessuna parte del sito esiste un seppur minimo riferimento al produttore, non abbiamo ne indirizzi di mail ne indirizzi di chi distribuisce questo prodotto.
Anche la lingua italiana usata nelle pagine a volte non e' corretta.
Il whois del sito punta a EUROACCESS BELGIUM.

Ecco alcune schermate della home, stessa pagina ma differente nome del prodotto.
Notate il nome dell'antivirus in alto a sinistra.!!!



Collegato a questo dominio esiste anche questo falso avviso di scansione, sempre in italiano


che al momento non attivo sulle pagine viste prima, ma in ogni caso, cliccando su uno qualunque dei links presenti nel falso messaggio di allerta virus, scarica il piccolo file install_it.exe che sottoposto a VirusTotal genera questo report:


[ file data ]
* name: install_it.exe
* size: 156208
* md5.: 1c2c056b43f9380bf0361c4b7abe208d
* sha1: 92a9da238bf2dddafb0d95e8555fdd4491ceed5c

[ scan result ]
AhnLab-V3 2007.10.20.0/20071019 found [Win-Trojan/Winfixer.166928]
AntiVir 7.6.0.27/20071021 found nothing
Authentium 4.93.8/20071020 found nothing
Avast 4.7.1051.0/20071021 found [Win32:Winfixer-F]
AVG 7.5.0.488/20071021 found [Potentially harmful program WinFixer.ACD]
BitDefender 7.2/20071022 found nothing
CAT-QuickHeal 9.00/20071020 found [Downloader.WinFixer.z (Not a Virus)]
ClamAV 0.91.2/20071022 found [Adware.Winfixer-3]
DrWeb 4.44.0.09170/20071021 found [Trojan.Fakealert.311]
eSafe 7.0.15.0/20071021 found nothing
eTrust-Vet 31.2.5225/20071020 found nothing
Ewido 4.0/20071021 found [Not-A-Virus.Downloader.Win32.WinFixer.z]
F-Prot 4.3.2.48/20071020 found [W32/Adware.YNP]
F-Secure 6.70.13030.0/20071022 found nothing
FileAdvisor 1/20071022 found nothing
Fortinet 3.11.0.0/20071019 found [Download/WinFixer]
Ikarus T3.1.1.12/20071021 found [not-a-virus:Downloader.Win32.WinFixer.z]
Kaspersky 7.0.0.125/20071022 found [not-a-virus:Downloader.Win32.WinFixer.z]
McAfee 5145/20071019 found nothing
Microsoft 1.2908/20071022 found [Program:Win32/WinFixer]
NOD32v2 2604/20071019 found nothing
Norman 5.80.02/20071019 found [W32/WinFixer.AET]
Panda 9.0.0.4/20071021 found [Trj/Downloader.NIO]
Prevx1 V2/20071022 found [Heuristic: Suspicious Mailer]
Rising 19.45.62.00/20071021 found nothing
Sophos 4.22.0/20071022 found nothing
Sunbelt 2.2.907.0/20071020 found [Trojan-Downloader.Win32.Agent.ZAF]
Symantec 10/20071022 found [AVSystemCare]
TheHacker 6.2.9.103/20071021 found [Aplicacion/WinFixer.z]
VBA32 3.12.2.4/20071019 found [Downloader.Win32.WinFixer.z]
VirusBuster 4.3.26:9/20071021 found nothing
Webwasher-Gateway 6.6.1/20071021 found [Riskware.Dldr.WinFixer.Z.30]

Chiaramente un trojan downloader.

Sempre allo stesso IP risultano anche altre pagine in italiano con diversi layout:


Anche queste richiedono, per scaricare il programma, il pagamento con carta di credito.
Sempre allo stesso IP esistono pagine in altre lingue con layout identico a queste viste ora.

Edgar

Nessun commento: