venerdì 15 ottobre 2010

Continua la 'distribuzione' del Fake 'Microsoft Security Essentials' Aggiornamenti (15 ottobre)

Pare continuare in maniera sostenuta la distribuzione del fake AV che prende il nome di 'Microsoft Security Essentials'. (questo il post che ne tratta)
Una attuale ricerca in rete porta ad individuare forum IT che continuano a linkare a siti Track che vengono utilizzati per distribuire l'ormai molto noto fake AV.

Che la distribuzione sia attiva ed in corso lo possiamo rilevare da alcuni dettagli dell'analisi odierna:

Intanto i falsi Ticket Track (rimando a questo post per ulteriori dettagli) pur essendo ormai creati da circa due settimane sono tuttora presenti in rete e bonificati solo in parte

e vengono per di piu' linkati da forum IT aggiornati da poco

Questo un trace che porta dal falso 'ticket” Track , tramite diversi redirect

a questo noto layout di fake sito di filmati porno.

Un whois dei diversi siti che effettuano il redirect porta ad evidenziare che il sito finale , hostato in USA, presenta una data di registrazione risalente a qualche giorno fa

cosa che dimostra ancora una volta l'attuale tentativo di diffondere il malware.

Una analisiii VT mostra inoltre che pochi reali Av rilevano la minaccia (ieri solo 6 Av rilevavano il file come pericoloso) oggi siamo ad un numero leggermente maggiore ma comunque alcuni noti Av parrebbero non trovare l'eseguibile come sospetto.


E' pur vero che ci troviamo di fronte ad un falso Av e non ad un malware trojan ecc..., ma c'e' da ricordare che questo 'Microsoft Security Essentials' e' abbastanza invasivo come comportamento.

Come gia' ampiamente visto, non si limita solo a presentarsi come scanner AV che presenta falsi messaggi di virus attivi sul PC ma blocca i browser internet che stiamo utilizzando nonche' il task manager e programmi collegati, rendendo per un normale utente internet difficile la bonifica del PC (si ha praticamente l'impossibilita' di accedere alla rete e di terminare il task malware da appunto task manager)

Un altro sintomo che evidenzia l'attuale presenza in rete del fake Av e' che dai log di questo blog si rilevano ancora molte ricerche in rete che hanno come oggetto proprio il 'Microsoft Security Essentials' cosa che farebbe pensare a numerosi utenti alle prese con questo malware.

La conferma che si tratta del fake Av citato nel post l'abbiamo lanciando il file eseguibile scaricato come fake plugin e che mostra quando eseguito

Notate l'icona attuale dell'eseguibile (a lato della finestra del messaggio del fake AV) che e' diversa rispetto a quelle del medesimo malware rilevate in passato
segno di un costante aggiornamento dell'eseguibile.


Edgar

Nessun commento: