giovedì 3 settembre 2009

ReleaseXP(dot)exe. Analisi del file

Nel precedente post avevamo visto che , nel caso di siti su medesimo IP ma di differente layout (parte come scanner online ma altri come falsi player di filmati porno) veniva proposto il download di un eseguibile praticamente ignorato dalla totalita' dei softwares AV presenti su VT

Una scansione con Anubis aveva comunque permesso di verificare la presenza di un download gestito dall'eseguibile e che risultava essere un file dal nome ReleaseXP(dot)exe

Visto che anche questo file non era riconosciuto in maniera chiara da VT e che comunque aveva le dimensioni di circa due MB (tipiche per falsa applicazione AV e non certo per file malware (di solito pochi centinaia di KB) ) si e' provveduto ad eseguirlo all'interno di PC virtuale per verificarne le caratteristiche

Dopo qualche secondo ecco la comparsa sul desktop di una tipica finestra video di Falso Av

dal nome 'Windows Protection Suite'.

Si tratta di fake AV che propone ad esempio queste opzioni




tra cui anche il link a pagina di registrazione , a pagamento, del falso AV


Da notare l'icona sulla barra di Windows
identica alla favicon
che appare sui siti visti nel precedente post che distribuivano il file di install della falsa applicazione AV.

Edgar

Nessun commento: