[NEWS] Security Proscan e Security Full Scan

Edgar Bangkok · 01-11-2008, 09:37

sabato 1 novembre 2008

Si tratta in realta' della medesima applicazione antivirus fasulla che si sta diffondendo in queste ore grazie a links che appaiono su molte pagine di siti compromessi o comunque su pagine che sono utilizzate. loro malgrado, per distribuire links pericolosi.

Un primo caso lo possiamo trovare in una delle tante pagine Moodle che sono aggiornate quotidianamente come vediamo in questi dettagli. (alcune info in piu' sulla compromissione di siti Moodle le trovate su questo recente post)

Questo uno dei siti di E-Leasing coinvolti
(img sul blog)
che viene sfruttato al suo interno per proporre vari links
(img sul blog)
Come si vede i links sono aggiornati alla data odierna
Le pagine con links sono piu' di una ed aggiunte quotidianamente al sito Moodle.
Il link porta tramite successivi redirects a

Un altro caso e' questo link presente in una pagina di Google Groups
(img sul blog)
che linka a
(img sul blog)
Questo un whois di uno dei siti che distribuisce il falso antivirus
(img sul blog)
Il range IP relativo ai siti che distribuiscono questa applicazione fasulla comprende numerosi altri siti dubbi tra cui anche pagine che distribuiscono i soliti falsi filmati e codecs video fasulli contenenti varianti di malware Zlob.

Il file esegubile scaricato

viene poco riconosciuto dagli antivirus presenti in VT

mentre una volta in esecuzione si comporta come il 'vecchio' Antivirus 2009 Protection esaminato qui , di cui probabilmente utilizza gli stessi codici, come si puo' vedere confrontando le videate del software odierno in esecuzione

con quelle di Antivirus 2009 Protection.

(img sul blog)

Come sempre la rimozione del fake antivirus e' difficoltosa e richiede spesso interventi manuali sia cancellando files che chiavi aggiunte sul file registro.

Il consiglio rimane sempre quello di evitare di installare software di cui non si conosce la provenienza, tanto piu; se proposto automaticamente da qualche pagina web ed inoltre dare una occhiata in rete tramite un motore di ricerca per acquisire qualche info in piu' prima di installare un programma la cui rimozione potrebbe poi comportare notevoli problemi.

Edgar

fonte: http://edetools.blogspot.com/

Edgar Bangkok · 02-11-2008, 07:28

Pur rimanendo con il medesimo nome, il file che installa il falso AV e' cambiato sia di dimensione, come si vede anche da due download successivi (ieri e oggi in basso)

sia come risposta da parte dei vari softwares AV presenti nel report VT

Come sempre le continue modifiche del file eseguibile di install garantiscono che lo stesso sia poco riconosciuto come file pericoloso.

Inoltre il sito del falso scanner online ora propone come url

In ogni caso il link presente sui siti moodle che reindirizza sul sito del falso scanner rimane sempre lo stesso e punta a sito hostato al momento in Germania e con un nome di registrar che non stupisce affatto per questo genere di siti.

Edgar

Edgar Bangkok · 03-11-2008, 04:21

Continua l'utilizzo di Moodle per diffondere links a falsi AV

Un breve aggiornamento sull'utilizzo di Moodle per diffondere links a falsi AV.
Una ricerca in rete, filtrata per data, dimostra che anche nelle ultime ore e' continuato intenso l'inserimento di nuovi account fasulli in siti Moodle per diffondere links ad applicazioni antivirus fasulle.
Alcune dettagli sull'utilizzo di Moodle li trovate in questo post ed un aggiornamento in questo

Questa e' come si presenta una pagina Moodle aggiornata al momento di scrivere il post (3 novembre)

dove si nota oltre alla data ed alla presunta provenienza di chi ha inserito i links, anche una serie di collegamenti che rimandano ad altri siti Moodle, su domini non italiani, con i medesimi problemi.
Questa invece la parte della stessa pagina relativa al link

che come si vede punta sempre al medesimo sito (whois in Germania) che poi redirige su differenti AV (links variabili ed aggiornati nel tempo da chi gestisce questo sistema di diffusione di falsi applicativi antivirus)

Nel caso odierno abbiamo un nuovo links che punta a falso scanner che tenta di scaricare sul pc una diversa aggiornata versione del file eseguibile di setup gia' visto in precedenza su links da siti Moodle

file che, come si vede, e' sempre poco riconosciuto

Edgar

01-11-2008, 09:37	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Security Proscan e Security Full Scan sabato 1 novembre 2008 Si tratta in realta' della medesima applicazione antivirus fasulla che si sta diffondendo in queste ore grazie a links che appaiono su molte pagine di siti compromessi o comunque su pagine che sono utilizzate. loro malgrado, per distribuire links pericolosi. Un primo caso lo possiamo trovare in una delle tante pagine Moodle che sono aggiornate quotidianamente come vediamo in questi dettagli. (alcune info in piu' sulla compromissione di siti Moodle le trovate su questo recente post) Questo uno dei siti di E-Leasing coinvolti (img sul blog) che viene sfruttato al suo interno per proporre vari links (img sul blog) Come si vede i links sono aggiornati alla data odierna Le pagine con links sono piu' di una ed aggiunte quotidianamente al sito Moodle. Il link porta tramite successivi redirects a Un altro caso e' questo link presente in una pagina di Google Groups (img sul blog) che linka a (img sul blog) Questo un whois di uno dei siti che distribuisce il falso antivirus (img sul blog) Il range IP relativo ai siti che distribuiscono questa applicazione fasulla comprende numerosi altri siti dubbi tra cui anche pagine che distribuiscono i soliti falsi filmati e codecs video fasulli contenenti varianti di malware Zlob. Il file esegubile scaricato viene poco riconosciuto dagli antivirus presenti in VT mentre una volta in esecuzione si comporta come il 'vecchio' Antivirus 2009 Protection esaminato qui , di cui probabilmente utilizza gli stessi codici, come si puo' vedere confrontando le videate del software odierno in esecuzione con quelle di Antivirus 2009 Protection. (img sul blog) Come sempre la rimozione del fake antivirus e' difficoltosa e richiede spesso interventi manuali sia cancellando files che chiavi aggiunte sul file registro. Il consiglio rimane sempre quello di evitare di installare software di cui non si conosce la provenienza, tanto piu; se proposto automaticamente da qualche pagina web ed inoltre dare una occhiata in rete tramite un motore di ricerca per acquisire qualche info in piu' prima di installare un programma la cui rimozione potrebbe poi comportare notevoli problemi. *Edgar* fonte: http://edetools.blogspot.com/ __________________ http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 01-11-2008 alle 12:58.

02-11-2008, 07:28	#2
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Aggiornamento 2 novembre Pur rimanendo con il medesimo nome, il file che installa il falso AV e' cambiato sia di dimensione, come si vede anche da due download successivi (ieri e oggi in basso) sia come risposta da parte dei vari softwares AV presenti nel report VT Come sempre le continue modifiche del file eseguibile di install garantiscono che lo stesso sia poco riconosciuto come file pericoloso. Inoltre il sito del falso scanner online ora propone come url In ogni caso il link presente sui siti moodle che reindirizza sul sito del falso scanner rimane sempre lo stesso e punta a sito hostato al momento in Germania e con un nome di registrar che non stupisce affatto per questo genere di siti. Edgar __________________ http://edetools.blogspot.com/

03-11-2008, 04:21	#3
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Aggiornamento 3 novembre Continua l'utilizzo di Moodle per diffondere links a falsi AV Un breve aggiornamento sull'utilizzo di Moodle per diffondere links a falsi AV. Una ricerca in rete, filtrata per data, dimostra che anche nelle ultime ore e' continuato intenso l'inserimento di nuovi account fasulli in siti Moodle per diffondere links ad applicazioni antivirus fasulle. Alcune dettagli sull'utilizzo di Moodle li trovate in questo post ed un aggiornamento in questo Questa e' come si presenta una pagina Moodle aggiornata al momento di scrivere il post (3 novembre) dove si nota oltre alla data ed alla presunta provenienza di chi ha inserito i links, anche una serie di collegamenti che rimandano ad altri siti Moodle, su domini non italiani, con i medesimi problemi. Questa invece la parte della stessa pagina relativa al link che come si vede punta sempre al medesimo sito (whois in Germania) che poi redirige su differenti AV (links variabili ed aggiornati nel tempo da chi gestisce questo sistema di diffusione di falsi applicativi antivirus) Nel caso odierno abbiamo un nuovo links che punta a falso scanner che tenta di scaricare sul pc una diversa aggiornata versione del file eseguibile di setup gia' visto in precedenza su links da siti Moodle file che, come si vede, e' sempre poco riconosciuto Edgar __________________ http://edetools.blogspot.com/

Strumenti
Mostra una versione stampabile Invia questa pagina per email