giovedì 22 marzo 2012

Distribuzione di fake software antivirus. Il rogue anti-spyware program 'Windows Process Director' (22 marzo)

Nel corso delle ultime settimane e' apparso in rete un aumento delle segnalazioni di nuove distribuzioni di malware inteso come false applicazioni antivirus.

E' del 19 marzo ad esempio questa segnalazione di GFI Labs che illustra una distribuzione fake Av attraverso un falso avviso Google che ci informa della presenza di malware sul nostro computer.

Questo un dettaglio dello screenshot presente sul sito GFI che mostra in chiaro anche l'url di distribuzione del falso AV (al momento non piu' attiva)

Come si vede, l'url comprende una parte relativa ad un nome ingannevole, che ricorda una applicazione antivirus ed una parte con url numerica...es /1/ … /2/ ecc... costituendo una struttura di indirizzo web che vedremo riapparire moltissime volte on-line anche se naturalmente con diversi domini di base.

Da una ricerca attuale in rete possiamo infatti trovare numerosi riferimenti sia alla attuale registrazione di nuovi domini dai nomi ingannevoli (es .queste registrazioni di dominio del 20 marzo)

sia alle presenza online di falsi siti di scanner AV con i piu' differenti nomi che ci ricordano comunque le url gia' esaminate.

Anche se rilevati online da poco tempo, i domini interessati sembrano comunque andare rapidamente off-line per venire sostituiti da nuovi nomi, ma quello che e' interessante, e' che la struttura della url rimane simile a quella gia' vista per il fake allerta Google, facendo pensare ad una origine comune o comunque a qualche relazione tra le varie distribuzioni malware.

Quello che esamineremo ora, in dettaglio, e' un indirizzo web relativo a fake sito di scansione AV online che mostra struttura di url simile ad altre gia' viste, anche se il contenuto fake AV distribuito potrebbe essere differente da quello proposto da altri siti.

Sul sito GFI si parla ad esempio di fake AV senza indicarne dettagli ulteriori sull'eventuale denominazione.

Ecco i dettagli:

Su questo whois

troviamo alcune url dal nome ingannevole tra cui quella che andiamo ad analizzare e che propone un falso messaggio di allerta malware

Notate come l'indirizzo web sia comunque simile al precedente caso Google, mentre l'indicazione del nome del fake AV risulti come generico Windows Antivirus 2012.

Confermando la richiesta di scansione si passa a questo fake scanner on-line


dal layout ben noto.

Notate come il nome della finestra del browser presenti ancora l'indicazione di un “Window Antivirus 2012”.


Il fake scanner online, se si conferma la richiesta di bonifica del PC, propone un eseguibile dal nome abbastanza generico “setup.exe” .

Provvedendo a modificare nella url il valore numerico che referenzia il folder contenete il malware, passando ad esempio da ./1/...... a …../2/.... …...../3/........ ecc... otteniamo sempre il download del malware con identico nome di file, ma un checksum md5 che mostra diversi valori

Si tratta come sempre di un tentativo ulteriore di evitare riconoscimento dei contenuti da parte dei reali AV.

Piu' interessante una analisi con VT che mostra

ad intervalli di circa un'ora un riconoscimento sempre nullo dei contenuti

escludendo quello euristico da parte di

Per avere quindi conferma dei contenuti che parrebbero indicare una applicazione di falso Av non ci resta che eseguire il file scaricato in macchina virtuale onde evitare spiacevoli problemi.

Ecco come si mostra l'icona del programma di install del malware, sul desktop di Windows7 usato per il test

ed ecco la momento del run la videata relativa, che ci permette di catalogare il fake AV come “Windows Process Director”

Si tratta,come vedremo di un fake AV molto complesso, con layout ben curato, numerose opzioni 'simulate' e un comportamento particolarmente 'invasivo' nei riguardi del PC che lo ospita.

Proseguendo, dopo l'installazione, viene avviata una scansione fake

che termina con la solita schermata di elenco del malware rilevato

e richiesta di registrazione a pagamento per poter bonificare il PC.

Ci troviamo sicuramente di fronte ad una applicazione di falso AV curata nei minimi dettagli se si pensa che viene persino simulata, ma sarebbe forse piu' giusto dire 'gestita”, la possibilita' di sbocco dei vari processi e applicazioni di Windows 7 resi inoperativi dal fake AV.

Tra i vari software 'bloccati' es. l'impossibilita di avviare i browsers ma anche il task manager ottenendo questi risultati

In pratica, come detto, un software fake AV completo di tutte le opzioni che si possono chiedere ad un reale software di protezione del PC compreso anche, cosa non vista in passate applicazioni, un filtro antiphishing

ed una opzione per selezionare e lanciare vari applicativi di utilita' di Windows 7.

Inoltre, come sempre, abbiamo anche continui falsi messaggi di allerta che appaiono sulla barra di Windows

L'installazione provvede inoltre a mostrare una icona sul desktop di Windows 7 relativa al falso programma AV.

Per quanto si riferisce alla diffusione in rete pare che la stessa sia abbastanza elevata e comunque se osserviamo la tendenza proposta da Google Trend per una ricerca generica come “Windows Antivirus 2012”

abbiamo sicuramente degli indizi su un aumento della costante diffusione del malware fake AV.

Edgar

Nessun commento: