Edgar Bangkok
23-08-2009, 09:45
domenica 23 agosto 2009
Come scritto nel precedente post (http://edetools.blogspot.com/2009/08/link-falsi-av-tramite-siti-it.html) analizziamo il file setup(dot)exe scaricato tramite links nascosti su siti IT compromessi.
Una volta lanciato l'eseguibile setup(dot)exe ecco la prima schermata proposta
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/1.jpg
relativa all'install , a cui segue dopo il download dei necessari files, la finestra principale della falsa applicazione
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/2.jpg
che vediamo essere il noto “Privacy Center” in una nuova recente variante.
Molte le opzioni disponibili, chiaramente funzionanti solo come visualizzazione di un menu', e non certo come reale programma di firewall
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/6.jpg
scanner antivirus
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/9.jpg
ecc....
E' interessante notare che, a parte la sequenza notevole di falsi messaggi di allerta, sia sul desktop che nella barra di windows,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/8.jpg
abbiamo anche un blocco del normale funzionamento di Firefox con questo messaggio
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/bloccofierfox.jpg
Dopo qualche minuto dall'install abbiamo poi la comparsa sul desktop di immagini full screen con links a siti porno ecc.... come si vede da questo screenshot.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/caos1.jpg
Provando a lanciare in alternativa a Firefox, Microsoft Explorer (qui nella versione 7) abbiamo la sorpresa di vedere nella pagina di Google, inserito un avviso che ci invita registrare Privacy Center
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/googlesuexplorerpc.jpg
Appare evidente che una volta in esecuzione il falso AV prenda il controllo dell'accesso ai browsers installati sul pc, in questo caso sia Firefox, che Explorer.
L'eseguibile installato sul pc protector(dot)exe viene riconosciuto da alcuni AV come
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/protectorese.jpg
mentre come sempre la disinstallazione del software non sara' delle piu' facili, caratteristica comune della maggior parte delle 'rogue applications' antivirus.
A dimostrazione che molti dei software come fake AV, malware, ecc.... distribuiti in rete abbiano origini comuni vediamo qui un falso sito di video online clone di Youtube
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/download2009-08-23_091400.jpg
che ci propone come download un file simile al file di install setup(dot)exe visto in precedenza e che VT vede come
(report sul blog)
anche questa volta probabile install di “Privacy Center” hostato su server
(Whois sul blog)
Edgar :D
fonte: http://edetools.blogspot.com/2009/08/privacy-center-come-setupdotexe.html
Come scritto nel precedente post (http://edetools.blogspot.com/2009/08/link-falsi-av-tramite-siti-it.html) analizziamo il file setup(dot)exe scaricato tramite links nascosti su siti IT compromessi.
Una volta lanciato l'eseguibile setup(dot)exe ecco la prima schermata proposta
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/1.jpg
relativa all'install , a cui segue dopo il download dei necessari files, la finestra principale della falsa applicazione
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/2.jpg
che vediamo essere il noto “Privacy Center” in una nuova recente variante.
Molte le opzioni disponibili, chiaramente funzionanti solo come visualizzazione di un menu', e non certo come reale programma di firewall
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/6.jpg
scanner antivirus
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/9.jpg
ecc....
E' interessante notare che, a parte la sequenza notevole di falsi messaggi di allerta, sia sul desktop che nella barra di windows,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/8.jpg
abbiamo anche un blocco del normale funzionamento di Firefox con questo messaggio
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/bloccofierfox.jpg
Dopo qualche minuto dall'install abbiamo poi la comparsa sul desktop di immagini full screen con links a siti porno ecc.... come si vede da questo screenshot.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/caos1.jpg
Provando a lanciare in alternativa a Firefox, Microsoft Explorer (qui nella versione 7) abbiamo la sorpresa di vedere nella pagina di Google, inserito un avviso che ci invita registrare Privacy Center
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/googlesuexplorerpc.jpg
Appare evidente che una volta in esecuzione il falso AV prenda il controllo dell'accesso ai browsers installati sul pc, in questo caso sia Firefox, che Explorer.
L'eseguibile installato sul pc protector(dot)exe viene riconosciuto da alcuni AV come
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/protectorese.jpg
mentre come sempre la disinstallazione del software non sara' delle piu' facili, caratteristica comune della maggior parte delle 'rogue applications' antivirus.
A dimostrazione che molti dei software come fake AV, malware, ecc.... distribuiti in rete abbiano origini comuni vediamo qui un falso sito di video online clone di Youtube
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fake%20av%20su%20IT%20sites%2022%2008/download2009-08-23_091400.jpg
che ci propone come download un file simile al file di install setup(dot)exe visto in precedenza e che VT vede come
(report sul blog)
anche questa volta probabile install di “Privacy Center” hostato su server
(Whois sul blog)
Edgar :D
fonte: http://edetools.blogspot.com/2009/08/privacy-center-come-setupdotexe.html