Edgar Bangkok
03-07-2008, 08:23
3 luglio 2008
Antispyware 2008 e' un'altra recentissima Rogue Application antispyware che sfrutta come sempre la caratteristica comune a questi softwares e cioe' falsi avvisi della presenza di files malware sul nostro pc e la loro rimozione solo dietro registrazione a pagamento del software.
La homepage come sempre ben curata nel layout, linka, tra le altre,
(img sul blog)
ad una pagina di supporto che dovrebbe offrire la possibilita' di richiedere ulteriori dettagli su questo software che appare anche come compatibile con Windows Vista.
(img sul blog)
Cliccando sul bottone 'Try Free Now' compare la consueta videata di una falsa scansione del pc
(img sul blog)
alla fine della quale cliccando sulla finestra di avviso che elenca il malware trovato, viene scaricato il file setup.exe
Non importa scegliere se cliccare sul bottone Remove o Ignore in quanto il risultato sara' sempre il tentativo di scaricare il file.
Prima nota di rilievo e' che il file setup.exe e' sconosciuto ai software presenti su Virus Total ed e ' anche probabile che cambi frequentemente il suo contenuto per eludere le verifiche dei software AV
Eseguendolo, appare questa finestra che indica il progresso dello scaricamento del falso antispyware
(img sul blog)
e qui vale la pena di entrare un poco di piu' in qualche dettaglio tecnico.
(img sul blog)
Come si vede da questa videata
se andiamo ad analizzare i contenuti di setup.exe possiamo ricavare alcune interessanti info al riguardo di cosa stiamo scaricando.
Vediamo ad esempio che setup.exe appare disponibile su un certo numero di domini tutti con whois
ed analizzato con VT il file eseguibile Antispyware008.exe
(img sul blog)
e' quasi nullo il suo riconoscimento (solo pochissimi softwares rilevano il pericolo e come generico file malware)
Chiaramente lanciando il setup il tutto avviene in maniera automatica ed alla fine della procedura abbiamo la comparsa della videata del falso antispyware in azione con la lunga lista di rilevamenti fasulli di malware, trojan, ecc...
Come al solito c'e' la richiesta di registrare il software, a pagamento, per poter rimuovere il malware.
(img sul blog)
Inoltre anche questa volta, NON esiste nel menu' relativo al programma un link alla procedura di unistall che come sempre risultera' parecchio laboriosa costringendoci a rimuovere manualmente i singoli files, dll, ecc.... creati sul nostro pc da a 'Antispyware 2008' .
Le sorprese comunque, non mancano, andando ad analizzare i contenuti del file eseguibile Antispyware2008.exe scaricato dai links visti prima e presenti all'interno di setup.exe
(img sul blog)
In primo luogo, il file Antispyware2008.exe, contiene un lungo elenco di nomi di malware che compariranno al momento della falsa scansione
ma la cosa piu' sorprendente e' l'elenco di migliaia di indirizzi di pagine web presenti all'interno del codice
qui vedete un dettaglio delle migliaia di indirizzi presenti (oltre 6000 !!!)
Una ipotesi su questa moltitudine di link non e' facile, ma potrebbe ad esempio trattarsi, di un modo per forzare la navigazione del nostro browser su siti predeterminati.
In pratica il nostro browser potrebbe essere reindirizzato su questi siti al momento che il falso antispyware fosse eseguito.
(img sul blog)
C'e' anche da rilevare che il contenuto di indirizzi di siti .IT presenti in elenco
mostra accanto ad alcune “normali urls” anche link a pagine come questa, dal dubbio contenuto.
Sara' interessante analizzare questo grande numero di links 'messi a disposizione' dal software antispyware fasullo per verificare in dettaglio di cosa si tratta e se sono presenti anche links pericolosi.
Edgar :D
fonte: http://edetools.blogspot.com/
Antispyware 2008 e' un'altra recentissima Rogue Application antispyware che sfrutta come sempre la caratteristica comune a questi softwares e cioe' falsi avvisi della presenza di files malware sul nostro pc e la loro rimozione solo dietro registrazione a pagamento del software.
La homepage come sempre ben curata nel layout, linka, tra le altre,
(img sul blog)
ad una pagina di supporto che dovrebbe offrire la possibilita' di richiedere ulteriori dettagli su questo software che appare anche come compatibile con Windows Vista.
(img sul blog)
Cliccando sul bottone 'Try Free Now' compare la consueta videata di una falsa scansione del pc
(img sul blog)
alla fine della quale cliccando sulla finestra di avviso che elenca il malware trovato, viene scaricato il file setup.exe
Non importa scegliere se cliccare sul bottone Remove o Ignore in quanto il risultato sara' sempre il tentativo di scaricare il file.
Prima nota di rilievo e' che il file setup.exe e' sconosciuto ai software presenti su Virus Total ed e ' anche probabile che cambi frequentemente il suo contenuto per eludere le verifiche dei software AV
Eseguendolo, appare questa finestra che indica il progresso dello scaricamento del falso antispyware
(img sul blog)
e qui vale la pena di entrare un poco di piu' in qualche dettaglio tecnico.
(img sul blog)
Come si vede da questa videata
se andiamo ad analizzare i contenuti di setup.exe possiamo ricavare alcune interessanti info al riguardo di cosa stiamo scaricando.
Vediamo ad esempio che setup.exe appare disponibile su un certo numero di domini tutti con whois
ed analizzato con VT il file eseguibile Antispyware008.exe
(img sul blog)
e' quasi nullo il suo riconoscimento (solo pochissimi softwares rilevano il pericolo e come generico file malware)
Chiaramente lanciando il setup il tutto avviene in maniera automatica ed alla fine della procedura abbiamo la comparsa della videata del falso antispyware in azione con la lunga lista di rilevamenti fasulli di malware, trojan, ecc...
Come al solito c'e' la richiesta di registrare il software, a pagamento, per poter rimuovere il malware.
(img sul blog)
Inoltre anche questa volta, NON esiste nel menu' relativo al programma un link alla procedura di unistall che come sempre risultera' parecchio laboriosa costringendoci a rimuovere manualmente i singoli files, dll, ecc.... creati sul nostro pc da a 'Antispyware 2008' .
Le sorprese comunque, non mancano, andando ad analizzare i contenuti del file eseguibile Antispyware2008.exe scaricato dai links visti prima e presenti all'interno di setup.exe
(img sul blog)
In primo luogo, il file Antispyware2008.exe, contiene un lungo elenco di nomi di malware che compariranno al momento della falsa scansione
ma la cosa piu' sorprendente e' l'elenco di migliaia di indirizzi di pagine web presenti all'interno del codice
qui vedete un dettaglio delle migliaia di indirizzi presenti (oltre 6000 !!!)
Una ipotesi su questa moltitudine di link non e' facile, ma potrebbe ad esempio trattarsi, di un modo per forzare la navigazione del nostro browser su siti predeterminati.
In pratica il nostro browser potrebbe essere reindirizzato su questi siti al momento che il falso antispyware fosse eseguito.
(img sul blog)
C'e' anche da rilevare che il contenuto di indirizzi di siti .IT presenti in elenco
mostra accanto ad alcune “normali urls” anche link a pagine come questa, dal dubbio contenuto.
Sara' interessante analizzare questo grande numero di links 'messi a disposizione' dal software antispyware fasullo per verificare in dettaglio di cosa si tratta e se sono presenti anche links pericolosi.
Edgar :D
fonte: http://edetools.blogspot.com/