lunedì 10 novembre 2008

Ancora qualche problema di affidabilita' sui report di Site Advisor.
Ecco una odierna pagina del noto sito

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/site%20advisor%202/main2008-11-10_184225.jpg

che analizza una url che, dal nome, sembrerebbe ricondurre ad una pagina di scansione di un noto antivirus .

Purtroppo non e' cosi' visto che se apriamo nel browser l' indirizzo url in questione

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/site%20advisor%202/mainpagescanner.jpg

ci troviamo con questa pagina, ormai ben nota a chi si occupa di false applicazioni AV, e che non richiederebbe ulteriori verifiche per catalogarla come pericolosa
Per maggiore sicurezza proviamo comunque a passare il file eseguibile a VT ed eco il risultato

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/site%20advisor%202/vtot.jpg

che poi Anubis ci conferma pienamente indicando anzi che siamo di fronte probabilmente non ad un falso setup di AV ma ad un ennesimo codice di trojan downloader come si nota anche dalle attivita di rete del file scaricato quando eseguito.

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/site%20advisor%202/downloadnetanubis.jpg

Ed ecco uno dei files scaricati

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/site%20advisor%202/videocfgvt.jpg

Tra l'altro e' abbastanza strano il fatto che nella pagina Site Advisor si informa che si sta' testando il file scaricato dal sito AVG ONLINE SCANNER ed in contemporanea si assegna al sito il “bollino verde”. (sito senza problemi)

Purtroppo questo tipo di analisi sbagliata favorisce chi cerca di distribuire false applicazioni Av o peggio malware in quanto e' possibile che fidandosi delle indicazioni di Site Advisor , chi visita il sito AVG ONLINE SCANNER scarichi ed segua il file pensando di trovarsi di fronte ad un reale e funzionante software AV.

Vedremo se nelle prossime ore, terminato il test del file eseguibile scaricato, Site Advisor rivedra' il proprio giudizio sul sito AVG ONLINE SCANNER.

Edgar :D


fonte: http://edetools.blogspot.com/

martedì 11 novembre 2008

Nonostante anche i commenti dei visitatori di Site Advisor riportino il contrario il noto sito di analisi di pagine web dubbie o pericolose insiste nel mantenere il 'bollino verde' per il noto sito avg-online-scanner(dot)com che distribuisce falso antivirus malware.

Ad aumentare i problemi , una scansione eseguita ora con VT, porta a solo 2 i softwares che evidenziano il pericolo contenuto nel file scaricato sul pc
(img sul blog)
Mentre Anubis riconferma il file come probabile trojan downloader e non come install di falso antivirus

I creatori di avg-online-scanner(dot)com penso che a questo punto ringrazino Site Advisor per il valido supporto che sta portando alla loro azione di diffusione malware, considerando anche il fatto che il file non viene visto come pericoloso dalla quasi totalita' dei software AV in commercio.

Edgar :D

Mentre Site Advisor continua a proporre bollino verde per l'ormai noto AVG-online-scanner(dot)com (sito fasullo di scanner AV con malware) e' interessante notare che anche il sito Safe Web di Symantec considera la pagina che con il falso scanner antispyware, priva di problemi, come si vede da questo attuale screenshot.

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/siteadvisor%20cnn/main2008-11-13_081820.jpg

Pare che comunque un utente segnali il pericolo 'fake antivirus' , come si nota a lato della pagina


Chiaramente il contenuto del sito non e' senza problemi ma continua a distribuire un eseguibile , aggiornato costantemente per eludere i controlli dei 'reali' softwares Av e che, al momento di scrivere il post, risulta essere praticamente sconosciuto ai programmi del report Virus Total.

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/siteadvisor%20cnn/vt-1.jpg

La cosa interessante e' che il file scaricato non e' una falsa applicazione av ma bensi' di un malware a tutti gli effetti.

A questo punto, come ulteriore verifica, e' stata inviato il sorgente della pagina del falso scanner a VT per verificare se qualche software antivirus rileva dei problemi sul codice caricato dal browser

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/siteadvisor%20cnn/vtsourcepage.jpg

e , caso strano, anche lo stesso software Symantec rileva qualche problema nella pagina.

Stranamente , pero, anche Safe Web pare ignorare le indicazioni che, anche lo stesso software Symantec e cioe' della medesima azienda, riconosce come possibile pagina con downloader di programma pericoloso.

C'e' anche da sottolineare che il file eseguibile che viene proposto come setup di antivirus sembra essere molto ben programmato per bloccare eventuali analisi, in quanto, a parte Anubis, ad esempio Threat Expert non riesce praticamente ad analizzarlo

(img sul blog)


Aggiornamento

Sul medesimo indirizzo IP di AVG-online-scanner(dot)com abbiamo altri siti di falso Av e precisamente

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/site%20advisor%202/listaav.jpg

i cui contenuti sono simili a quelli gia' visti ed a quanto pare e' simile anche il NON riconoscimento della minaccia ad esempio da parte di SAFEWEB Symantec

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/site%20advisor%202/profvirusscannercom.jpg

Edgar :D

NOTA importante
Si tratta di files eseguibili contenenti malware scarsamente riconosciuto.
Consiglio chi volesse visitare i siti elencati di utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.

Si tratta del sito upgrade-soft-ware-now(dot)com che distribuisce direttamente, od indirettamente (una volta eseguito il codice scaricato) questi files

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/altri%20siteadv%2014%2011/files.jpg

Si tratta di un file exe gia' visto nell'analisi del sito di falso AV di AVG Online Scanner che distribuisce un trojan che si spaccia per setup di antivirus.

Il file eseguibile e' il malware che provvede a caricare, una volta eseguito, successivi files pericolosi.
Una analisi Virus Total dei files dimostra il loro scarso riconoscimento da parte degli antivirus in commercio

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/altri%20siteadv%2014%2011/vtexe.jpg

(img sul blog)

(img sul blog)

mentre Anubis conferma il tipo di file

(img sul blog)

Non sorprende piu' d tanto che trattandosi probabilmente del medesimo file gia' visto come falso antivirus distribuito da avg-online-scanner (al momento divenuto OFFLINE) Site Advisor classifichi il sito che distribuisce questo file eseguibile malware come AFFIDABILE

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/altri%20siteadv%2014%2011/main2008-11-14_083910.jpg

ancora una volta dimostrando i problemi di "affidabilita'" che coinvolgono il noto sito di analisi di pagine internet pericolose

Edgar :D