Negli ultimi anni i virus-writers, oltre ai "soliti" malware, hanno rilasciato nel web falsi programmi per la protezione dei nostri personal computer ma quello che più sconcerta è il nome dato a queste applicazioni, molto simili a quelli reali.
Di seguito alcuni esempi:
ByteDefender
SystemArmor
Smart Security
Security Essentials 2010
ArmorDefender
Malware Defense
Antivir 2010
QuickHealCleaner
Virus Sweeper
... e molti altri, ma fra i tanti ho voluto prendere in esame quello menzionato nel titolo perchè, ad oggi, è riconosciuto da soli 6 antivirus ma solo in 4 casi grazie alle firme presenti nel proprio database, gli altri 2 antivirus riconoscono la minaccia grazie alla loro euristica allertata dal packer usato per comprimere il programma.
Discorso a parte per ciò che riguarda l'azienda direttamente interessata, la Symantec, che grazie alla tecnologia Norton Download Insight riconosce e blocca il malware.
Vediamo i vari passaggi:
l'infezione arriva da pagine web appositamente modificate con codice malevolo, una volta entrati in queste pagine verremo avvisati, con un messaggio a video, che il nostro computer è infetto e verrà chiesta una scansione del nostro disco
indipendentemente da quale sia la nostra scelta se rifiutare o meno, la scansione avrà comunque inizio.
Dall'immagine però possiamo già notare che abbiamo a che fare con qualcosa di poco attendibile, basta leggere infatti i nomi dati alle varie directory per capire che abbiamo a che fare con una falsa scansione.
il passaggio successivo è quello di scaricare sul computer della vittima l'eseguibile infetto, nel nostro caso Norton_Free_Antivirus_2010.exe.
Se cercheremo di chiudere la pagina o cliccheremo su una qualsiasi parte della pagina si aprirà la finestra di download, per evitare tutto ciò premiamo più volte contemporaneamente e in rapida sequenza i tasti Alt+F4, in questo modo forzeremo la chiusura del nostro browser.
ma quali danni può creare il faso antivirus se il file viene scaricato ed eseguito?
Viene rimossa la libreria wscsvc.dll che è parte del Centro di Sicurezza Windows, viene eseguita una richiesta in uscita in TCP porta 80 verso google.com, verremo reindirizzati verso un sito di tipo nome.dominio.com dove il dominio sembrerebbe, al momento, in vendita.
Verrà creato il valore C:\Documents and Settings\[nome utente]\Desktop\Norton_Free_Antivirus_2010.exe nella sottochiave di registro
HKLM\SYSTEM\..\PendingFileRenameOperations (in XP)
HKLM\SYSTEM\..\FileRenameOperations (in Vista e 7)
questo per permettere al malware di eliminare il file scaricato e tutto grazie a un comando impartito al file di sistema cmd.exe (linea di comando)che andrà ad eseguire un file .bat precedentemente scaricato.
Questo il comando del file uninst0a994bc.bat
@echo off
:begin
del %1
if exist %1 goto begin
del %0
appena eseguito, anche il file .bat verrà rimosso dal computer.
Vengono creati due file .exe in C:\ con nome random, infine usando il programma Messenger vengono memorizzate su un file le nostre conversazioni ed inviate ad un server remoto.
Per rimuovere il malware basta riavviare in modalità provvisoria con rete, scaricare Malwarebytes e dopo averlo aggiornato eseguire una scansione completa del disco.
spero che funzioni nn riesco a fare piu niente
RispondiEliminaCiao, nel caso dovessi avere bisogno d'aiuto fammelo sapere ;)
RispondiElimina