venerdì 2 maggio 2008

Antivirus-scanner

Ritorno, dopo un po di tempo, sulla presenza in rete di false applicazioni antivirus e antispyware per evidenziare gli “ottimi livelli” di layout dei siti che contengono questi programmi fasulli creati al solo scopo di generare falsi messaggi di presenza virus sul proprio computer.
Lo scopo e' sempre quello di proporre poi l'acquisto di un programma, chiaramente inutile, che dovrebbe ripulire il nostro pc dai files pericolosi ma anche, in certi casi, si segnala la presenza di veri e propri malware nella falsa applicazione antivirus che ci viene proposto di scaricare.

Esaminiamo in dettaglio il sito 'Antivirus Scanner' che ci propone il software Antivirus 2008 partendo dalla URL

Ccome e' ormai consuetudine per questo genere di siti, e' presente un numero che identifica al momento del caricamento della pagina, il layout del falso scanner antivirus online.
In questo modo il falso sito antimalware simula diversi layout ed anche una pagina che vorrebbe rappresentare uno 'schermo blu” tipico di un crash del sistema operativo.

Qui sotto vedete una gif animata che ho creato raccogliendo le diverse videate corrispondenti ai numeri chiave presenti nella url (da 1 a 10) e che mostra le differenti pagine proposte a chi visita il sito 'Antivirus Scanner'.

(Tra l'altro vorrei ricordare , per chi usa Blogger, l'uso del sito Photobucket che permette di archiviare immagini proponendo anche il link in maniera automatica e che in questo caso rende possibile l'uso di una gif animata)

In seguito, alla fine di una di queste false scansioni appare una ulteriore finestra che propone, a fronte di risultati (fasulli) che dimostrano della presenza sul nostro computer di malware, di scaricare il software antivirus per installarlo.


Inoltre a seconda del browser usato si arriva a presentare dettagliate istruzioni per l'installazione del programma


Quella che vedete , ad esempio, e' una finestra di spiegazioni, relativa a Firefox per installare il falso antivirus per chi usa questo browser.

Interessante e' dare una occhiata al codice java che gestisce il falso scanner.

Oltre che al diverso comportamento in base al browser usato

e' nteressante il nome dato ad alcune funzioni contenute nel codice


La funzione 'panico finale' si spiega gia' dal nome !


L'analisi con Virus Total del falso install dimostra che sono veramente pochi gli antivirus che identificano il codice come “Rogue Application


Il whois del sito che occupa un IP, gia' segnalato in liste di indirizzi da bloccare in quanto server che hosta falsi programmi , corrisponde a :

Edgar

Nessun commento: