domenica 23 agosto 2009

'Privacy Center” come setup(dot)exe scaricato da siti .IT compromessi

Come scritto nel precedente post analizziamo il file setup(dot)exe scaricato tramite links nascosti su siti IT compromessi.

Una volta lanciato l'eseguibile setup(dot)exe ecco la prima schermata proposta

relativa all'install , a cui segue dopo il download dei necessari files, la finestra principale della falsa applicazione
che vediamo essere il noto “Privacy Center” in una nuova recente variante.

Molte le opzioni disponibili, chiaramente funzionanti solo come visualizzazione di un menu', e non certo come reale programma di firewall

scanner antivirus


ecc....


E' interessante notare che, a parte la sequenza notevole di falsi messaggi di allerta, sia sul desktop che nella barra di windows,


abbiamo anche un blocco del normale funzionamento di Firefox con questo messaggio

Dopo qualche minuto dall'install abbiamo poi la comparsa sul desktop di immagini full screen con links a siti porno ecc.... come si vede da questo screenshot.


Provando a lanciare in alternativa a Firefox, Microsoft Explorer (qui nella versione 7) abbiamo la sorpresa di vedere nella pagina di Google, inserito un avviso che ci invita registrare Privacy Center


Appare evidente che una volta in esecuzione il falso AV prenda il controllo dell'accesso ai browsers installati sul pc, in questo caso sia Firefox, che Explorer.

L'eseguibile installato sul pc protector(dot)exe viene riconosciuto da alcuni AV come

mentre come sempre la disinstallazione del software non sara' delle piu' facili, caratteristica comune della maggior parte delle 'rogue applications' antivirus.

A dimostrazione che molti dei software come fake AV, malware, ecc.... distribuiti in rete abbiano origini comuni vediamo qui un falso sito di video online clone di Youtube


che ci propone come download un file simile al file di install setup(dot)exe visto in precedenza e che VT vede come


anche questa volta probabile install di “Privacy Center” hostato su server

Edgar

Nessun commento: