Falsi antivirus distribuiti come codec video (XLG Privacy Control Center)

N.B. si tratta di pagine con collegamenti a malware attivo o a falsi softwares AV Usate quindi le dovute precauzioni se visitate questi siti.

Riprendo il post sul sito wiki trasformato in fonte aggiornata a links pericolosi , di cui ho recentemente scritto, per esaminare una delle tante novita' presenti in fatto di false applicazioni antivirus.
Quella che vedremo. e', a quanto pare dal report VT, una nuovissima applicazione fasulla di scansione del pc, disponibile in molte lingue, tra cui anche l'italiano.

Come gia' visto, una delle maggiori fonti di problemi per chi scarica files visitando siti con contenuti per adulti e' stata, fino ad oggi, la presenza di falsi player video, codec, activex tutti in realta' malware (varianti Zlob, ecc...) e di solito scarsamente riconosciuti dai reali softwares antivirus piu' diffusi.

Da qualche tempo, pero', sembra che la tendenza sia quella di affiancare alla distribuzione di codici pericolosi anche quella di falsi applicativi antimalware e antispyware, utilizzando i medesimi siti e le medesime tecniche viste per la distribuzione di malware.

Ecco cosa succede esaminando uno dei link

http://free-porntube(dot)weebly(dot)com/hentai-tube.html

tra le centinaia presenti sul sito wiki esaminato

La pagina che vediamo, dai testi presenti non lascia dubbi sui contenuti che verranno proposti cliccando su uno dei tanti links
Gia' nei giorni scorsi, seguendo qualche links disponibile su questo sito, si veniva indirizzati in sequenza a differenti pagine:
Per primo ad una pagina che abbiamo gia' visto nella descrizione del falso player video linkato dal sito wiki, successivamente su una falso pagina di Youtube con contenuti porno e links a malware zlob e riprovando ancora, ad un sito di un falso antivirus gia' noto e molto diffuso in rete.
In pratica veniva riconosciuto l'IP di chi visitava il sito e venivano proposte pagine con contenuti diversi.

Da oggi, sembra che chi gestisce il sito abbia modificato i links, preparando nuove sorprese per chi dovesse visitare la pagina che abbiamo visto ora

Ad esempio ecco uno dei collegamenti che punta a

http://adult-archive(dot)net/?wmid=305&softname=teens_fuck_orgy.mpeg

Ecco cosa viene caricato se si ha un IP ad esempio “italiano” ( per chi vista il sito dalla Thailandia, e' stato invece predisposto un redirect automatico su Google Thailand.per occultare la pagina)

Si tratta del 'solito' sito di filmati porno che tra l'altro sembra abbastanza curato come layout mostrando sempre differenti immagini visitandolo ripetutamente.
Cliccando su una delle immagini presenti viene proposto il download di un file eseguibile mentre cliccando sui links testuali che appaiono nella parte sinistra della pagina si apre quella che potrebbe sembrare la 'solita' pagina del falso codec video da installare per vedere il filmato.

http://adult-archive(dot)net/get.php?wmid=305&softname=teens_fuck_orgy.mpeg

Si tratta in ogni caso di un link che tramite opportuna chiave chiamata softname permette di ridenominare il file scaricabile al momento dl download.
Ecco un semplice esempio

Le differenze con i normali files malware pero' sono subito evidenziate dalle dimensioni dei files scaricati.
Si tratta infatti di file eseguibili di piu di 2 mega, un po troppo per dei semplici codici malware.
Passando ad una analisi con Virus total il 'mistero' sulla natura dei files rimane in quanto sono praticamente sconosciuti ai vari software AV presenti nel report.



Una analisi degli SHA o MD5 sul report VT ci conferma pero' che, pur con nomi diversi di eseguibile, siamo in presenza del medesimo file sia che venga scaricato dal link diretto sulle immagini che come falso codec video..

A questo punto e' utile consultare un sito di come ad esempio http://www.threatexpert.com/ che ci fornisce una analisi del file quando eseguito e che dal report generato risolve i dubbi sulla natura del reale contenuto del file.

Si puo ad esempio notare che una volta eseguito il file scaricato crea il folder sysguard con diversi subfolders contenenti parti di un programma probabilmente appartenente alla categoria dei falsi AV.

Inoltre nel report viene indicato l'avvio in autostart di due applicazioni ed un link ad un sito che se pur dal nome della url sembra spagnolo ha testo sulla pagina home in caratteri russi ed e' registrato ad un nome ben noto a chi si occupa di malware

---------------------------------------------------------------------

Aggiornamento

GMG mi segnala, in un commento al post, che il sito piratas-numericos[DOT]info e' gia noto per aver distribuito un malware di tipo ransomware (trojan che cripta il contenuto di alcune cartelle o di alcuni file del pc vittima e richiede un pagamento in denaro per poter rendere di nuovo utilizzabili i dati cosi' codificati).
Symantec riporta ad esempio questa info riguardo al sito dei probabili creatori del malware 'Trojan.Randsom.C' in questione:
The Trojan 'Trojan.Randsom.C' is reportedly dropped by other malware or may be downloaded from the following remote site: [http://]piratas-numericos.info/handlers/get[REMOVED] .

---------------------------------------------------------------------

A questo punto non e' restato che provare a vedere cosa succede eseguendo il file scaricato dal falso sito di filmati porno.

Dopo pochi secondi abbiamo la conferma che si tratta di una nuova fasulla applicazione antivirus

che dopo il messaggio di allerta iniziale apre questa interfaccia grafica che e' disponibile anche in italiano

e che si presenta come XLG Privacy Control Center

Il falso antimalware sembra comportarsi come i piu' tipici programmi di questo genere non permettendo addirittura di minimizzare la finestra principale, che rimane sul desktop sopra tutte le altre presenti.
In pratica, a meno di non intervenire con il task manager non abbiamo la possibilita' di chiudere il programma, che, dopo averci mostrato decine di problemi (fasulli) sul nostro pc, simula anche una parziale bonifica dei files trovati

In pratica viene simulata una 'pulitura di alcuni dei files ma non di tutti se non dietro registrazione a pagamento del software.

Questa la richiesta di registrazione del falso antivirus:

Esaminando il file .ini usato dal falso Av vediamo che per il 'pagamento' ci si appoggia ad un altro sito di falso AV

questa la homepage


e questo il report VT molto scarso come risultati


Questa invece e' la struttura del folder creato al momento della istallazione

dove si notano i due eseguibili (dove tipguard.exe e' il programma che gestisce l'autostart e crea l'icona sulla barra di XP) e dove appare evidente il folder 'lang' contenete appunto i vari files di configurazione dei linguaggi disponibili

Questo e' quello per il settaggio italiano del programma con alcune traduzioni 'notevoli'

(ricordano molto gli errori presenti nelle traduzioni dei testi dei messaggi di phishing in italiano)

E' presente anche un uninstall che pero' si risolve con questo messaggio

In conclusione la ricerca in rete di questa applicazione fasulla, sembra ricondurla ad una variante del software XL Guarder anche se gli screen proposti sono differenti.

Il fatto inoltre che praticamente sia sconosciuta ai software Av potrebbe dimostrare che si tratta di una nuova variante non ancora molto diffusa in rete che potrebbe creare non pochi problemi a chi inavvertitamente la avesse installata e dovesse ora rimuoverla in modo manuale dal proprio PC.

Edgar