Il 10 febbraio 2011 www.bleepingcomputer.com pubblicava una guida su come rimuovere un fake Av denominato Security Defender, come sono di quel periodo anche altre segnalazioni relative al fake AV.
Caso abbastanza particolare, a distanza di quasi un anno, possiamo rilevare in rete decine di domini creati di recente, che si occupano della 'distribuzione' in rete di Security Defender , dimostrando che il fake Av e' ancora ben supportato da chi vuol distribuire questo genere di malware.
Vediamo alcuni dettagli:
Questo un lungo elenco proposto sul forum di www.malwaredomainlist.com con decine di indirizzi web attualmente attivi
tutti con dominio di primo livello come .IN (India). anche se comunque un whois punta a a server
Da notare come a detta lista si aggiungano anche altri domini, rilevati attraverso diversi siti di analisi IP.
Un whois mostra anche data recente di creazione dei domini che linkano al malware (dicembre 2011)
confermando cosi' che, nonostante Security Defender sia ben noto da tempo, ci troviamo di fronte ad una nuova distribuzione dello stesso.
Non sorprende quindi che VT mostri un basso riconoscimento dell'eseguibile, dovuto anche al fatto che si tratta tutto o in parte solo di codice di loader e non di quello della falsa applicazione AV.
Una analisi degli hash mostra inoltre che i files scaricati variano spesso come contenuto, pratica abbastanza comune, per evitare maggiormente di essere rilevati dai reali software AV.
Vediamo ora, a conferma dei contenuti di fake AV, l'esecuzione (in vbox) di uno degli eseguibili scaricati:
Appena lanciato il file
abbiamo l'indicazione della fase di install con il download automatico del codice occorrente all'esecuzione del fake AV
e la successiva attivazione della fake scansione
Da notare come ci siano indicazioni estremamente dettagliate sulla natura del malware che sarebbe presente sul nostro PC.
Una volta terminata la scansione fake ed il rilievo di codici malevoli (in realta' inesistenti ma la cui presenza e' ben simulata)
troviamo una altrettanto dettagliata finestra con varie scelte sull'azione dell'antivirus (rimozione, messa in quarantena del file, ecc....) come accade nei reali softwares AV
Un tentativo di rimuovere il malware segnalato dara' evidentemente esito negativo
ed apparira' la proposta di registrazione del fake AV dietro relativo pagamento.
Ignorando la richiesta avremo, come succede in questi casi, sia la presenza di allerta sullo stato di 'infezione' del PC
ma anche , ad esempio all'apertura dei browser, di messaggi di avviso e blocco della navigazione per motivi di sicurezza, es. con Firefox
e con Explorer
Altri messaggi appariranno ad intervalli piu' o meno regolari per indicarci dello stato compromesso del PC
Caso abbastanza raro, abbiamo questa volta, la possibilita' di testare cosa succede in pratica attivando il fake AV.
E' stato infatti pubblicato in rete un codice di attivazione (al momento ancora valido) relativo proprio a Security Defender e che andiamo a provare.
In effetti una volta inserito il codice abbiamo la conferma dell'avvenuta attivazione del fake AV e possiamo procedere alla rimozione (simulata) del malware trovato (in realta' sempre rigorosamente inesistente')
La rimozione termina con l'indicazione di avvenuta completa bonifica del PC.
Caso particolare se reinstalliamo nuovamente il fake AV, otterremo ancora una volta l'allerta di presenza malware, con la ricomparsa di tutti i vari software malevoli che saranno cosi' ritornati ad 'infestare' il nostro PC.
Qui alcuni riferimenti a siti che trattano sia della rimozione del malware (post datato 2011)
http://www.bleepingcomputer.com/virus-removal/remove-security-defender
che della presenza attuale in rete di Security Defender che parrebbe aver trovato in questo inizio 2012 un nuovo momento di 'notorieta''.
http://siri-urz.blogspot.com/2012/01/security-defender.html
e con presente il codice usato per l'attivazione di test del fake AV.
Da notare che attivando il fake AV e' stato possibile usare l'opzione di default di un-install per i softwares in Windows, anche se sarebbe da verificare se realmente il software fake viene disinstallato o si tratti solo di una 'simulazione' di un-install.
Infatti, anche se apparentemente la disinstallazione di Security Defender e' andata a buon fine, trattandosi di software di natura malware, non e' neppure da escludere che possano essere presenti e nascoste funzioni piu' pericolose (possibile codice trojan, backdoor ecc...)
Edgar
Caso abbastanza particolare, a distanza di quasi un anno, possiamo rilevare in rete decine di domini creati di recente, che si occupano della 'distribuzione' in rete di Security Defender , dimostrando che il fake Av e' ancora ben supportato da chi vuol distribuire questo genere di malware.
Vediamo alcuni dettagli:
Questo un lungo elenco proposto sul forum di www.malwaredomainlist.com con decine di indirizzi web attualmente attivi
tutti con dominio di primo livello come .IN (India). anche se comunque un whois punta a a server
Da notare come a detta lista si aggiungano anche altri domini, rilevati attraverso diversi siti di analisi IP.Un whois mostra anche data recente di creazione dei domini che linkano al malware (dicembre 2011)
confermando cosi' che, nonostante Security Defender sia ben noto da tempo, ci troviamo di fronte ad una nuova distribuzione dello stesso.Non sorprende quindi che VT mostri un basso riconoscimento dell'eseguibile, dovuto anche al fatto che si tratta tutto o in parte solo di codice di loader e non di quello della falsa applicazione AV.
Una analisi degli hash mostra inoltre che i files scaricati variano spesso come contenuto, pratica abbastanza comune, per evitare maggiormente di essere rilevati dai reali software AV.Vediamo ora, a conferma dei contenuti di fake AV, l'esecuzione (in vbox) di uno degli eseguibili scaricati:
Appena lanciato il file
abbiamo l'indicazione della fase di install con il download automatico del codice occorrente all'esecuzione del fake AV
e la successiva attivazione della fake scansione
Da notare come ci siano indicazioni estremamente dettagliate sulla natura del malware che sarebbe presente sul nostro PC.Una volta terminata la scansione fake ed il rilievo di codici malevoli (in realta' inesistenti ma la cui presenza e' ben simulata)
troviamo una altrettanto dettagliata finestra con varie scelte sull'azione dell'antivirus (rimozione, messa in quarantena del file, ecc....) come accade nei reali softwares AV
Un tentativo di rimuovere il malware segnalato dara' evidentemente esito negativo
ed apparira' la proposta di registrazione del fake AV dietro relativo pagamento.
Ignorando la richiesta avremo, come succede in questi casi, sia la presenza di allerta sullo stato di 'infezione' del PC
ma anche , ad esempio all'apertura dei browser, di messaggi di avviso e blocco della navigazione per motivi di sicurezza, es. con Firefox
e con Explorer
Altri messaggi appariranno ad intervalli piu' o meno regolari per indicarci dello stato compromesso del PC
Caso abbastanza raro, abbiamo questa volta, la possibilita' di testare cosa succede in pratica attivando il fake AV.
E' stato infatti pubblicato in rete un codice di attivazione (al momento ancora valido) relativo proprio a Security Defender e che andiamo a provare.In effetti una volta inserito il codice abbiamo la conferma dell'avvenuta attivazione del fake AV e possiamo procedere alla rimozione (simulata) del malware trovato (in realta' sempre rigorosamente inesistente')
La rimozione termina con l'indicazione di avvenuta completa bonifica del PC.
Caso particolare se reinstalliamo nuovamente il fake AV, otterremo ancora una volta l'allerta di presenza malware, con la ricomparsa di tutti i vari software malevoli che saranno cosi' ritornati ad 'infestare' il nostro PC.Qui alcuni riferimenti a siti che trattano sia della rimozione del malware (post datato 2011)
http://www.bleepingcomputer.com/virus-removal/remove-security-defender
che della presenza attuale in rete di Security Defender che parrebbe aver trovato in questo inizio 2012 un nuovo momento di 'notorieta''.
http://siri-urz.blogspot.com/2012/01/security-defender.html
e con presente il codice usato per l'attivazione di test del fake AV.
Da notare che attivando il fake AV e' stato possibile usare l'opzione di default di un-install per i softwares in Windows, anche se sarebbe da verificare se realmente il software fake viene disinstallato o si tratti solo di una 'simulazione' di un-install.
Infatti, anche se apparentemente la disinstallazione di Security Defender e' andata a buon fine, trattandosi di software di natura malware, non e' neppure da escludere che possano essere presenti e nascoste funzioni piu' pericolose (possibile codice trojan, backdoor ecc...)
Edgar
Nessun commento:
Posta un commento