sabato 1 novembre 2008

Si tratta in realta' della medesima applicazione antivirus fasulla che si sta diffondendo in queste ore grazie a links che appaiono su molte pagine di siti compromessi o comunque su pagine che sono utilizzate. loro malgrado, per distribuire links pericolosi.

Un primo caso lo possiamo trovare in una delle tante pagine Moodle che sono aggiornate quotidianamente come vediamo in questi dettagli. (alcune info in piu' sulla compromissione di siti Moodle le trovate su questo recente post)

Questo uno dei siti di E-Leasing coinvolti
(img sul blog) (http://edetools.blogspot.com/)
che viene sfruttato al suo interno per proporre vari links
(img sul blog) (http://edetools.blogspot.com/)
Come si vede i links sono aggiornati alla data odierna
Le pagine con links sono piu' di una ed aggiunte quotidianamente al sito Moodle.
Il link porta tramite successivi redirects a

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/securityproscan2009/moodlefakeav.jpg

Un altro caso e' questo link presente in una pagina di Google Groups
(img sul blog) (http://edetools.blogspot.com/)
che linka a
(img sul blog) (http://edetools.blogspot.com/)
Questo un whois di uno dei siti che distribuisce il falso antivirus
(img sul blog) (http://edetools.blogspot.com/)
Il range IP relativo ai siti che distribuiscono questa applicazione fasulla comprende numerosi altri siti dubbi tra cui anche pagine che distribuiscono i soliti falsi filmati e codecs video fasulli contenenti varianti di malware Zlob.

Il file esegubile scaricato

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/securityproscan2009/exeicon.jpg

viene poco riconosciuto dagli antivirus presenti in VT

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/securityproscan2009/vt.jpg

mentre una volta in esecuzione si comporta come il 'vecchio' Antivirus 2009 Protection esaminato qui , di cui probabilmente utilizza gli stessi codici, come si puo' vedere confrontando le videate del software odierno in esecuzione

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/securityproscan2009/scanner.jpg
con quelle di Antivirus 2009 Protection.

(img sul blog) (http://edetools.blogspot.com/)

Come sempre la rimozione del fake antivirus e' difficoltosa e richiede spesso interventi manuali sia cancellando files che chiavi aggiunte sul file registro.

Il consiglio rimane sempre quello di evitare di installare software di cui non si conosce la provenienza, tanto piu; se proposto automaticamente da qualche pagina web ed inoltre dare una occhiata in rete tramite un motore di ricerca per acquisire qualche info in piu' prima di installare un programma la cui rimozione potrebbe poi comportare notevoli problemi.

Edgar :D

fonte: http://edetools.blogspot.com/

Pur rimanendo con il medesimo nome, il file che installa il falso AV e' cambiato sia di dimensione, come si vede anche da due download successivi (ieri e oggi in basso)

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle%20aggiornamento%201/comparazione.jpg

sia come risposta da parte dei vari softwares AV presenti nel report VT

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle%20aggiornamento%201/vt.jpg

Come sempre le continue modifiche del file eseguibile di install garantiscono che lo stesso sia poco riconosciuto come file pericoloso.

Inoltre il sito del falso scanner online ora propone come url

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle%20aggiornamento%201/urlfakescanner.jpg

In ogni caso il link presente sui siti moodle che reindirizza sul sito del falso scanner rimane sempre lo stesso e punta a sito hostato al momento in Germania e con un nome di registrar che non stupisce affatto per questo genere di siti.

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle%20aggiornamento%201/whois2008-11-02_120257.jpg

Edgar :D

Continua l'utilizzo di Moodle per diffondere links a falsi AV

Un breve aggiornamento sull'utilizzo di Moodle per diffondere links a falsi AV.
Una ricerca in rete, filtrata per data, dimostra che anche nelle ultime ore e' continuato intenso l'inserimento di nuovi account fasulli in siti Moodle per diffondere links ad applicazioni antivirus fasulle.
Alcune dettagli sull'utilizzo di Moodle li trovate in questo post (http://edetools.blogspot.com/2008/10/uso-di-moodle-per-linkare-pagine-con.html) ed un aggiornamento in questo
(http://edetools.blogspot.com/2008/10/uso-di-moodle-per-linkare-pagine-con_29.html)
Questa e' come si presenta una pagina Moodle aggiornata al momento di scrivere il post (3 novembre)

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle%203%20nov/dettagliMoodleaggiornati.jpg

dove si nota oltre alla data ed alla presunta provenienza di chi ha inserito i links, anche una serie di collegamenti che rimandano ad altri siti Moodle, su domini non italiani, con i medesimi problemi.
Questa invece la parte della stessa pagina relativa al link

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle%203%20nov/topmoodleit.jpg

che come si vede punta sempre al medesimo sito (whois in Germania) che poi redirige su differenti AV (links variabili ed aggiornati nel tempo da chi gestisce questo sistema di diffusione di falsi applicativi antivirus)

Nel caso odierno abbiamo un nuovo links che punta a falso scanner che tenta di scaricare sul pc una diversa aggiornata versione del file eseguibile di setup gia' visto in precedenza su links da siti Moodle

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle%203%20nov/avstessomoodleprecedente.jpg

file che, come si vede, e' sempre poco riconosciuto

Edgar :D