AVVISO ! Anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links ad eseguibili malware poco riconosciuti dai softwares AV.
La distribuzione di falsi scanners antivirus e' sempre molto diffusa in rete, e propone novita' interessanti, proprio per la cura con la quale vengono prodotti fake AV come quello che vedremo ora.
Si tratta di softwares che tentano di ingannare chi inavvertitamente li avesse scaricati dalla rete ed eseguiti, facendosi passare molto spesso per prodotti Microsoft di scansione malware.
E' il caso di un nuovo eseguibile che potremmo denominare Windows Software Guard e di cui analizzeremo sia la provenienza che quello che succede al momento della sua esecuzione.
Vediamo alcuni dettagli:
Il file eseguibile viene proposto da un link su post in forum IT e punta dopo redirect a questo falso layout di player video (gia' noto da tempo)
con whois:
Anche questa volta accedendo con IP thai si viene rediretti su home page di Google segno di un probabile riconoscimento degli IP di provenienza del visitatore del falso sito di filmati.Una analisi VT del file
mostra basso riconoscimento del malware:
Vediamo ora cosa succede lanciando movie.exeAl momento dell'esecuzione del file abbiamo
dove notiamo 'Microsoft Security Essential” nel titolo della finestra di allerta, cosa che ricorda un falso Av diffuso lo scorso anno e che denotava gia' una interfaccia molto evoluta rispetto ai 'soliti' fake scanners.Notare che al momento del run viene stabilita anche una connessione ad un IP
con whois
IP che compare in attuali analisi di FAKE Av come ad esempio questa di Sophos
Proseguendo nell'esecuzione del file si passa poi ad una scansione AV simulata
a cui segue avviso
ed installazione del software
Terminata la fase di installazione viene proposto un reboot del PC (notate sempre la cura posta nei layouts proposti)
Al momento del restart, come d'altronde succedeva gia' con altri fake AV, viene simulato un avvio di Windows in 'Protect Mode'
a cui segue una scansione (simulata) del nostro PC
con l'inevitabile rilevamento di numerosi malware
In automatico si viene portati su
da cui possiamo richiamare un form di registrazione del prodotto, dal layout molto curato
e che naturalmente richiede il pagamento per poter ricevere aggiornamenti del software ed eseguire le scansioni con l'opzione di 'pulizia' del sistema
Come gia' accaduto per il 'Fake Microsoft Security Essentials' che disabilitava sia browsers che task manager, anche adesso il task manager, utile per terminare il fake AV, non e' piu' disponibile essendo sostituito da un avviso
che ci informa di problemi malware.Il fake AV dispone anche di setup che comunque sembra non funzionare, lasciandolo sempre attivo anche dopo un reboot del PC.
Conseguenza di questo, la rimozione di Windows Software Guard sara' abbastanza laboriosa specialmente dovendo terminare l'esecuzione del software in assenza di un task manager abilitato.Appare quindi chiaro che un normale utente internet potrebbe trovarsi in difficolta' al momento di tentare la bonifica del proprio computer da falso AV, visto che i vari passaggi della procedura di 'ripulitura' del PC comprendono anche l'esecuzione di software scaricato dalla rete che permetta di terminare il task attivo del fake AV.
Alcune istruzioni relative a come bonificare il PC dal falso antivirus le potete trovare QUI.
Edgar
Nessun commento:
Posta un commento