martedì 26 ottobre 2010

Antivirus 2010 - Ancora distribuzione di noto fake Av attraverso siti IT (26 ottobre)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare il sito elencato se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....).

Ecco come una odierna ricerca in rete mostri l'ennesimo fake Av distribuito attraverso un nuovo layout di falso player video.(notate il time recente al riguardo dell'indicizzazione dei risultati della ricerca)


Vediamo qualche dettaglio:

Questo il fake player, proposto da sito IT compromesso

con link che tramite redirect punta a pagine come questa di falso scanner online (il layout e' sempre lo stesso che siamo abituati ormai a vedere in rete da molto tempo)


Il file eseguibile

mostra, ancora una volta un molto basso riconoscimento del malware

Sempre considerando uno dei links di redirect puntati dal falso player troviamo anche la proposta questa pagina di Adult Friend Finder, personalizzata attraverso la geolocalizzazione dell' IP ( IP che in questo caso era forzato tramite proxy a range italiano).


Tornando al falso file di software Av possiamo provare ad eseguirlo in Windows (in questo caso Windows 7) in Vbox Linux

Ecco che al momento dell'esecuzione del file abbiamo visualizzata questa barra di indicazione della progressione del caricamento e che dal testo sembrerebbe indicare una provenienza Est Europea del malware

Di seguito dopo l'avviso di 'License Agreement”

abbiamo l'attivazione della scansione del PC con l'immancabile falsa segnalazione di decine di files malware

e le solite finestre di avviso di 'trojan detected'

Il software appare quindi come 'Antivirus 2010” che tra l'altro e' presente gia' da tempo in rete ma che evidentemente continua ad essere riproposto probabilmente con aggiornamenti continui del codice visto il basso riconoscimento VT (dettagli qui e come variante qui)

Chiaramente cliccando su uno qualunque dei pulsanti di blocco e bonifica del presunto malware otteniamo l'indicazione di registrare a pagamento una copia del fake AV

e ci viene presentata nel browser la pagina del sito di registrazione ed acquisto di 'Antivirus 2010'.

Edgar

Nessun commento: