domenica 20 gennaio 2008

Rogue application con installer

Si puo dire che il maggior numero di siti attualmente attivi per distribuire malware si basi su pagine con contenuti porno che linkano a relativi falsi player e codec video che sono in realta solamente malware (uno dei piu diffusi e' certamente il noto zlob)
Un'altra tipologia di pagine web, sembra avere una diffusione numerica paragonabile e precisamente i siti che pubblicizzano falsi antivirus, falsi programmi per risolvere problemi sul computer, falsi antispyware ecc...ecc..

Normalmente cliccando sui link presenti nelle pagine di questi software fasulli viene scaricata una applicazione che genera falsi allarmi sulla presenza di virus, malware ecc... ed invoglia ad acquistare la versione registrata del software per risolverli.
Ultimamente abbiamo anche alcuni casi, come abbiamo visto in un precedente post, non solo di un falso avvertimento di presenza malware ma anche il download sul computer di veri e propri codici malevoli.

Il sito che vediamo adesso, la cui reale pericolosita' rimane limitata in parte solo dall'installazione di falsa applicazione sul pc e relativi problemi per disinstallarla, presenta un modo leggermente diverso per invogliare a scaricare la falsa applicazione e cioe' segnala l'esistenza sul proprio computer di una serie di immagini porno trovate attraverso una (falsa) scansione dei dischi.

La pagina del software visualizza una serie di informazioni relative al pc (peraltro faccilmente ottenibili dal browser e cioe' SO usato e IP con relativa nazione) e ci propone una serie di immagini tentando di simulare la scansione del nostro computer.

Questa volta, diversamente dal solito, non viene scaricata direttamente l'applicazione ma viene scaricato un software che funge da installer e questo programma viene riconosciuto da un buon numero di software come vediamo dal report VT
Eseguendo una semplice analisi del file di questo ADCFreeInstaller.exe si vede che contiene il link al vero programma di setup ADCFreeSetup.exe

L applicativo contrariamente al downloader viene riconosciuto solo da pochi software presenti su Virus total.

Come al solito ogni tentativo di chiudere la pagina del falso scanner comporta l'esecuzione di finestre di allerta che invitano insistentemente a scaricare il falso software


Edgar

Nessun commento: