AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links a pagine/siti dai contenuti spesso poco affidabili (possibile presenza di malware, exploit ecc....)
A distanza di qualche giorno dalla pubblicazione dei posts relativi ad una distribuzione di rogue applications AV sotto forma di 'Win 7 Internet Security 2011', 'Win 7 Home Security' ecc... abbiamo un nuovo falso software che prende il posto dei precedenti, ma utilizzando per diffondersi sempre siti IT compromessi in gran numero.
C'e' da rilevare che, ad esempio nel caso del sito utilizzato ora per scaricare il malware analizzato oggi, la data della presumibile indicizzazione della pagina e' di una decina di giorni fa cosa che comunque non impedisce, vista la tecnica di redirect utilizzata, di scaricare un fake AV estremamente aggiornato.
Si tratta di 'Security Center' , appartenente alla 'famiglia' del rogue anti-spyware denominato ' Antimalware Tool '.
La riprova che siamo di fronte a versioni aggiornate degli eseguibili la troviamo analizzando con VT il file exe scaricato
I risultati mostrano ancora una volta un veramente basso riconoscimento del file.
Naturalmente per verificare il file appena scaricato andiamo ad eseguirlo in Vbox.
A differenza dei precedenti eseguibili, durante l'installazione abbiamo una semplice finestra sincronizzata con il download del software che verra' installato.
A dimostrazione dell'elevato numero di indirizzi web a supporto del download dell'eseguibile ecco una analisi di reverse IP di quello catturato dallo sniffer e la verifica di alcuni dei sottodomini rilevati, per verificare se distribuiscono il file.
E' abbastanza significativo il fatto trovare un numero cosi' elevato (piu' di 40) di indirizzi da cui attingere per scaricare il malware (fake AV).
Si tratta comunque di sottodomini tutti derivati da questo servizio di 'free domain name'
Una volta installato sul PC, il fake AV ci propone una delle consuete finestre di scansione con la presenza (chiaramente fake) di malware piu' o meno pericoloso.
A questo punto, senza bisogno di ulteriori 'reboot' del computer, i principali programmi sono bloccati dal malware che li evidenzia come infetti (ecco un es. nel caso di Firefox)
Inutile sottolineare che la bonifica dal falso software AV del PC colpito potrebbe essere abbastanza laboriosa.
Basta vedere ad esempio i consigli proposti da www.bleepingcomputer.com che, per rimuovere il malware, pubblica una procedura che ha al primo step, l'avvio in “ Safe Mode with Networking” del PC colpito.
Edgar
A distanza di qualche giorno dalla pubblicazione dei posts relativi ad una distribuzione di rogue applications AV sotto forma di 'Win 7 Internet Security 2011', 'Win 7 Home Security' ecc... abbiamo un nuovo falso software che prende il posto dei precedenti, ma utilizzando per diffondersi sempre siti IT compromessi in gran numero.
C'e' da rilevare che, ad esempio nel caso del sito utilizzato ora per scaricare il malware analizzato oggi, la data della presumibile indicizzazione della pagina e' di una decina di giorni fa cosa che comunque non impedisce, vista la tecnica di redirect utilizzata, di scaricare un fake AV estremamente aggiornato.
Si tratta di 'Security Center' , appartenente alla 'famiglia' del rogue anti-spyware denominato ' Antimalware Tool '.
La riprova che siamo di fronte a versioni aggiornate degli eseguibili la troviamo analizzando con VT il file exe scaricato
I risultati mostrano ancora una volta un veramente basso riconoscimento del file.
Naturalmente per verificare il file appena scaricato andiamo ad eseguirlo in Vbox.A differenza dei precedenti eseguibili, durante l'installazione abbiamo una semplice finestra sincronizzata con il download del software che verra' installato.
A dimostrazione dell'elevato numero di indirizzi web a supporto del download dell'eseguibile ecco una analisi di reverse IP di quello catturato dallo sniffer e la verifica di alcuni dei sottodomini rilevati, per verificare se distribuiscono il file.
E' abbastanza significativo il fatto trovare un numero cosi' elevato (piu' di 40) di indirizzi da cui attingere per scaricare il malware (fake AV).Si tratta comunque di sottodomini tutti derivati da questo servizio di 'free domain name'
Una volta installato sul PC, il fake AV ci propone una delle consuete finestre di scansione con la presenza (chiaramente fake) di malware piu' o meno pericoloso.
A questo punto, senza bisogno di ulteriori 'reboot' del computer, i principali programmi sono bloccati dal malware che li evidenzia come infetti (ecco un es. nel caso di Firefox)
Inutile sottolineare che la bonifica dal falso software AV del PC colpito potrebbe essere abbastanza laboriosa.Basta vedere ad esempio i consigli proposti da www.bleepingcomputer.com che, per rimuovere il malware, pubblica una procedura che ha al primo step, l'avvio in “ Safe Mode with Networking” del PC colpito.
Edgar
Nessun commento:
Posta un commento