Edgar Bangkok
28-06-2008, 19:06
29 giugno 2008
Sono decine, in rete, i siti che propongono false applicazioni antivirus sempre nuove e con layout di pagine molto curati per dare una parvenza di ufficialita' al programma fasullo che tentano di far scaricare.
'Antivirus 2009 Protection' e' il nome di uno di questi software apparso da pochi giorni in rete
Sito curato nel layout e che questa volta tenta di sfruttare il nuovo nome che porta il riferimento all'anno 2009 proprio per apparire l'ultima novita' nella lotta al malware.
(img sul blog)
Tra l'altro sulla home si nota anche l'icone che punterebbe ad una ipotetica versione del software anche in italiano, cosa che in realta' e' fasulla in quanto se si clicca sulla miniatura della bandiera italiana si attiva solo il download della falsa applicazione.
Quasi tutti i link presenti sulla homepage linkano al file av2009install_0011.exe
(img sul blog)
La particolarita' di questa nuova 'rogue application' e' quella di essere praticamente sconosciuta, al momento, ai vari softwares antivirus (quelli reali) e solo Microsoft individua il file come Trojan downloader.
(img sul blog)
Un whois del sito indica un server tedesco come hosting del sito della falsa applicazione.
(img sul blog)
Una volta cliccato sul file av2009install_0011.exe questa e' la finestra che ci avvisa dell'installazione in corso del falso antimalware
(img sul blog)
ed una volta terminata si attiva la consueta sequenza (tipica di questi softwares ) di avvisi che ci avvertono della presenza sul nostro pc di malware di tutti i generi con la richiesta di registrare il programma per poter eseguire la rimozione dei codici pericolosi presenti.
Come si vede l'interfaccia del software si presenta ben strutturata e con le tipiche opzioni di un antivirus e la fantasia di chi ha creato il log dei nomi dei files malware trovati e ' notevole. (praticamente sul nostro pc abbiamo tutte le tipologie di malware esistenti.. 'rogue, dialers, trojan ....')
Al momento della prima esecuzione della falsa applicazione appare anche la nota finestra del Security Center (in questo caso di XP) che in realta' non e' l'originale ma una copia della stessa simulata dal software, come si vede dalle differenze tra la reale e quella visualizzata dalla rogue application.
(img sul blog)
Questo per sollecitarci maggiormente a registrare l'applicazione attraverso anche una serie di messaggi che compaiono nella taskbar
(img sul blog)
Come al solito il problema non finisce con i falsi avvisi ma si dimostra ancora piu' serio al momento di disinstallare il software fasullo in quanto normalmente con queste applicazioni non basta usare l'opzione di unistall (quando eventualmente presente) ma bisogna rimuovere manualmente chiavi di registro, eliminare la registrazione delle DLL installate dals oftware, cancellare folders creati dall'applicazione, ripristinare la pagina di default di apertura del browser in quanto a volte risulta cambiata, ecc.... ed il tutto dopo aver bloccato eventuali task attivi dell'applicazione rogue.
Della stessa famiglia di Antivirus 2009 Protection abbiamo anche altre applicazione simili ( Antivirus 2009 e Antivirus 2009 Pro ) che fortunatamente sembrerebbero meglio riconosciute dagli attuali antivirus.
In ogni caso, visto che, attualmente , il pericolo costituito da alcune di queste applicazioni antimalware non viene rilevato praticamente da nessun antivirus esistente e' meglio sempre documentarsi con una ricerca in rete prima di passare all'installazione di software antimalware sconosciuto che potrebbe, poi, farci passare ore nel tentativo di rimuoverlo dal nostro computer.
Edgar :D
fonte: http://edetools.blogspot.com/
Sono decine, in rete, i siti che propongono false applicazioni antivirus sempre nuove e con layout di pagine molto curati per dare una parvenza di ufficialita' al programma fasullo che tentano di far scaricare.
'Antivirus 2009 Protection' e' il nome di uno di questi software apparso da pochi giorni in rete
Sito curato nel layout e che questa volta tenta di sfruttare il nuovo nome che porta il riferimento all'anno 2009 proprio per apparire l'ultima novita' nella lotta al malware.
(img sul blog)
Tra l'altro sulla home si nota anche l'icone che punterebbe ad una ipotetica versione del software anche in italiano, cosa che in realta' e' fasulla in quanto se si clicca sulla miniatura della bandiera italiana si attiva solo il download della falsa applicazione.
Quasi tutti i link presenti sulla homepage linkano al file av2009install_0011.exe
(img sul blog)
La particolarita' di questa nuova 'rogue application' e' quella di essere praticamente sconosciuta, al momento, ai vari softwares antivirus (quelli reali) e solo Microsoft individua il file come Trojan downloader.
(img sul blog)
Un whois del sito indica un server tedesco come hosting del sito della falsa applicazione.
(img sul blog)
Una volta cliccato sul file av2009install_0011.exe questa e' la finestra che ci avvisa dell'installazione in corso del falso antimalware
(img sul blog)
ed una volta terminata si attiva la consueta sequenza (tipica di questi softwares ) di avvisi che ci avvertono della presenza sul nostro pc di malware di tutti i generi con la richiesta di registrare il programma per poter eseguire la rimozione dei codici pericolosi presenti.
Come si vede l'interfaccia del software si presenta ben strutturata e con le tipiche opzioni di un antivirus e la fantasia di chi ha creato il log dei nomi dei files malware trovati e ' notevole. (praticamente sul nostro pc abbiamo tutte le tipologie di malware esistenti.. 'rogue, dialers, trojan ....')
Al momento della prima esecuzione della falsa applicazione appare anche la nota finestra del Security Center (in questo caso di XP) che in realta' non e' l'originale ma una copia della stessa simulata dal software, come si vede dalle differenze tra la reale e quella visualizzata dalla rogue application.
(img sul blog)
Questo per sollecitarci maggiormente a registrare l'applicazione attraverso anche una serie di messaggi che compaiono nella taskbar
(img sul blog)
Come al solito il problema non finisce con i falsi avvisi ma si dimostra ancora piu' serio al momento di disinstallare il software fasullo in quanto normalmente con queste applicazioni non basta usare l'opzione di unistall (quando eventualmente presente) ma bisogna rimuovere manualmente chiavi di registro, eliminare la registrazione delle DLL installate dals oftware, cancellare folders creati dall'applicazione, ripristinare la pagina di default di apertura del browser in quanto a volte risulta cambiata, ecc.... ed il tutto dopo aver bloccato eventuali task attivi dell'applicazione rogue.
Della stessa famiglia di Antivirus 2009 Protection abbiamo anche altre applicazione simili ( Antivirus 2009 e Antivirus 2009 Pro ) che fortunatamente sembrerebbero meglio riconosciute dagli attuali antivirus.
In ogni caso, visto che, attualmente , il pericolo costituito da alcune di queste applicazioni antimalware non viene rilevato praticamente da nessun antivirus esistente e' meglio sempre documentarsi con una ricerca in rete prima di passare all'installazione di software antimalware sconosciuto che potrebbe, poi, farci passare ore nel tentativo di rimuoverlo dal nostro computer.
Edgar :D
fonte: http://edetools.blogspot.com/