“Rogue Antispyware”: L’Attacco dei Cloni

Posted on settembre 14, 2007. Filed under: News |

Symantec e PrevX hanno pubblicato due interventi sui loro rispettivi blog ufficiali segnalando un netto aumento del numero dei cosiddetti “rogue antispyware“, software che utilizzano strumenti maliziosi per installarsi sul computer degli utenti ed indurli ad acquistare un prodotto di protezione dopo averli convinti con l’inganno della presenza di malware sul loro sistema.

Secondo Symantec queste applicazioni utilizzano sempre più spesso tecniche di social engineering ed altri stratagemmi per indurre gli utenti ad effettuare pagamenti, acquistare prodotti, o comunque ad installare applicazioni non desiderate sui loro pc.

Symantec cita un recente esempio di “rogue antispyware”, chiamato AVSystemCare. Questa applicazione ha delle caratteristiche uniche: sfrutta uno stratagemma per rendere facile la generazione di una quantità infinita di “cloni” di se stessa, che pur mostrandosi e comportandosi ugualmente, presentano diversi nomi ed offre versioni localizzate in numerose lingue.

AVSystemCare è programmato in modo tale che tutti i suoi “cloni”, pur chiamandosi in modo diverso, utilizzano gli stessi file. Gli utenti malcapitati si trovano a scaricare un file di piccole dimensioni da uno dei siti web clone, che se eseguito installa sul PC i componenti principali dell’applicazione. Tutti i file dell’applicazione, inclusi quelli scaricati dai siti “clone”, sono identici (in base alla lingua).

L’applicazione sfrutta i cookie per riconoscere quale nome utilizzare durante l’installazione, in caso di mancanza di cookie già impostati sarà utilizzato il nome di default, che per i “cloni” in inglese è AVSystemCare. Gli autori di AVSystemCare hanno prodotti cloni in 11 differenti linguaggi, compreso l’italiano. Al momento ci sono oltre 70 domini che ospitano cloni di AVSystemCare in differenti lingue (come avsystemcare, virenfrierpc, norwayvirus, etc.). Symantec ha reso disponibile un “micro sito” dedicato ai “rogue antispyware”, che offre informazioni su queste minacce e tecniche su come difendersi.

Sul blog ufficiale di PrevX, viene invece fatto riferimento a AntiSpywareShield (il cui dominio è stato registrato il 2 Settembre scorso). Questo sito reindirizza http://www.malware-alarm.com un clone di http://www.malwarealarm.com, realizzato dagli stesse persone responsabili di altri “rogue antispyware” come BraveSentry, PestTrap, PestCapture, DIA Remover, Spyware-Stop, Mr AntiSpy, SpySheriff, SpyTrooper e molti altri. I metodi di infezioni sono classici: codec malevoli piazzati su siti per adulti e pop-up e pubblicità che avverte di una infezione in corso sul PC su molti siti dedicati a keygen e crack. Questi prodotti permettono di eseguire una scansione gratuita del proprio PC in cerca di malware o errori. Ovviamente per correggere e proteggere il computer si dovrà acquistare il prodotto. Addirittura sul sito ufficiale viene offerta una opzione di licenza vitalizia ad un prezzo molto ragionevole di $79.95 (che inoltre viene scontato fino a $29.95 se si tenta di abbandonare il sito).

PrevX offre anche una lista dei più recenti “rogue antispyware” in circolazione: Antispy Storm, Dio Cleaner, Perfect Cleaner 2007, Ultimate Fixer, Ultimate Defender, Ultimate Cleaner, AntiSpy Golden, System Doctor, Virus Heal, Virus Ranger, Trusted Protection, Virus Protect Pro, Virus Locker, MalwareBurn, WinAntiVirus. Una raccomandazione per tutti: Non scaricate, installate e acquistate mai un prodotto che promette di proteggere il vostro computer (presentandovi false finestre di avviso di infezione o falsi risultati di scan). In generale rifiutate qualsiasi offerta di installazione od altro che “spunti dal nulla” mentre state navigando.

Fonte.

Make a Comment

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: