Durante le ultime settimane i G Data Security Labs hanno esaminato le modalità di funzionamento di diversi falsi programmi antivirus analizzandone in dettaglio il codice sorgente. Di norma la maggior parte di questi programmi antivirus si presenta sotto forma di pagine web che cercano di simulare il layout di Microsoft Internet Explorer per darsi un alone di credibilità. Un falso scanner antivirus, poi, finge di rivelare presunte minacce sul Pc dell’utente inducendolo a scaricare un falso software antivirus. Si tratta di un approccio tipico del cosiddetto social engineering e che fa leva sulla paura dell’utente inducendolo a credere che il suo sistema sia infetto.
Tutti i falsi scanner antivirus analizzati da G Data cercano di replicare il layout di Windows XP e Windows 7. Per indurre l’utente ad aprire la pagina web del falso antivirus, inoltre, si sfrutta la funzione di re-indirizzo. L’utente, in altre parole, non apre direttamente la pagina web del falso scanner antivirus, ma ci arriva di norma cliccando su un link trovato all’interno di un sito ritenuto affidabile che è stato opportunamente modificato dai criminali online.
Ecco nel dettaglio come sono strutturate la pagine Internet di questi falsi scanner antivirus:
1. Falsi avvisi
Quando un utente apre un sito che è stato modificato dai cyber criminali, viene mostrato un avviso JavaScript. Questa tipologia di avvisi differisce soltanto per la sintassi e il layout web in relazione al browser installato.
 |
| http://www.gdata.it/ |
2. Falso scanner di sistema
Questa è la parte principale della pagina web. Dopo che l’utente ha cliccato “OK” sul falso avviso iniziale, un falso scanner evidenzia la presenza di diverse infezioni sul Pc dell’utente. Anche questi scanner funzionano con Javascript. I file scannerizzati, le loro estensioni e anche le presunte minacce trovate sono generate in maniera casuale dallo script sulla base di un set predefinito di valori (il fine di questa azione è ovviamente quello di sfuggire all’analisi di un vero programma antivirus).
Tutti i codici esaminati indicano che la pagine in questione sono state probabilmente codificate da un piccolo gruppo di persone, se non da un’unica persona, perché molti frammenti di codice utilizzato sono praticamente identici.
 |
| http://www.gdata.it/ |
Alcuni di questi siti, inoltre, utilizzano tecniche di offuscamento per impedire e ostacolare un’eventuale analisi manuale condotta da un’analista della sicurezza, come pure un’ispezione automatica avviata tramite un apposito tool. Il fatto che alcune pagine siano offuscate ed altre no lascia presupporre che tali pagine siano state create da un piccolo gruppo di persone che ha poi venduto il codice sorgente ad altri criminali i quali hanno poi aggiunto le tecniche di offuscamento.
3. Falsi risultati dello scanner e software fasullo
Dopo che è terminato il finto scanner di sistema e sono state evidenziate le (false) minacce, viene subito proposta una soluzione. Esaminando il codice i laboratori di G Data hanno notato una certa evoluzione dello stesso. Se, infatti, su Windows XP i risultati della scansione vengono presentati in una semplice immagine, quelli su windows 7 sono generati dinamicamente da JavaScript e consentono agli utenti di interagire con la lista di risultati tramite una finestra con tanto di scrolling.
 |
| http://www.gdata.it/ |
Queste pagine Internet sono hostate su domini internet free e hanno una media di vita di un solo giorno.
4. Tentativo di infezione
Dopo la scansione viene consigliato il download di un (falso) software antivirus. I siti Internet, però, sono strutturati in maniera tale da rendere impossibile all’utente il rifiuto del download. La chiusura della finestra del browser e la pressione il tasto “Back” sono infatti disabilitati tramite JavaScript. Ogni volta che l’utente tenta di compiere queste operazioni la finestra di download continua a mostrarsi. Fino a questo punto non c’è ancora infezione.
 |
| http://www.gdata.it/ |
5. Come evitare l’infezione?
Per evitare il download l’unica via percorribile è aprire il Task Manager (Ctrl+Alt
+Canc) e terminare manualmente il processo del browser selezionandolo tra i programmi attivi e premendo quindi su “Termina Operazione”.
6. Se il Task Manager non risponde?
In certe sistuazioni il sistema viene bloccato e non è possibile effettuare la procedura sopra descritta. Si tratta dei cosiddetti dei Ranmsoware che prendono letteralmente in ostaggio il PC. In questi casi viene in aiuto il software gratuito messo a disposizione da G Data. G Data BootCD è infatti un'applicazione pratica e facile da usare, progettata per offrire un modo per analizzare il computer in fase di avvio. BootCD è un'eccellente utility che aiuterà a rilevare i virus che hanno infettato il proprio PC prima di installare il software antivirus.
Come per gli altri software simili va scaricato il file .ISO e va masterizzato su CD con un software idoneo. Il G Data BootCD è supportato da due motori di ricerca virus (Double Scan) e prima di effettuare la scansione effettua una ricerca online di aggiornamento delle firme. Dopo aver masterizzato l'ISO settare il PC facendo partire come primo dispositivo di boot il CD. Il G Data BootCD partirà come versione live di Linux e sarà in grado di scansionare il PC e rilevare i file infetti. Il download è disponibile a questa pagina insieme ad altri tool di rimozione virus messi a disposizione gratuitamente da G Data.
Consigli utili per proteggersi dai falsi antivirus
- Utilizzare una soluzione per la sicurezza informatica completa con tanto di filtro http e firme virali aggiornate;
- Se scaricate software da Internet, scaricatelo solo dai siti ufficiali dei produttori o da siti dedicati che abbiano una buona reputazione;
- Se un sito mostra una finestra di download, controllate se davvero questo è un software che volete scaricare. Queste finestre automatiche di pop-up spesso fanno riferimenti a falsi software;
- Tenete sempre aggiornati il sistema operativo e il browser;
- Non cliccate hyperlink;
- Analizzate il linguaggio e l’ortografia dei pop-up e degli avvisi che compaiono in Internet. Troppi errori grammaticali sono segno evidente di una trappola.
La G Data Software AG, con sede a Bochum, è un’azienda innovativa e in rapida espansione, specializzata nello sviluppo, produzione e commercializzazione di prodotti dedicati alla sicurezza informatica. Quale specialista della sicurezza in Internet e pioniere nel campo dell’antivirus, l’azienda, fondata a Bochum nel 1985, sviluppò il primo programma antivirus 20 anni fa. Ormai celebri sono Doublescan, il pluripremiato sistema di scansione con due motori indipendenti e OutbreakShield, la protezione immediata anche in assenza di firme virali.
A Natale mi sono fatto un regalo:Kaspersky scontato di 10 euro e e in più Kaspersky Mobile Security in Regalo !!http://www.kaspersky.com/it/kaspersky_internet_security
RispondiElimina2015-12-14keyun
RispondiEliminauggs for sale
abercrombie fitch
coach outlet
louis vuitton
michael kors outlet sale
vans sneakers
ralph lauren outlet
the north face jackets
louis vuitton handbags
tods outlet store
toms
canada goose outlet
oakley sunglasses
tory burch outlet
nike trainers sale
michael kors
louis vuitton bags
fake oakley sunglasses
north face
pandora jewelry
north face jackets
coach factory outlet online
coach factory outlet
ugg outlet store
concord 11
hollister kids
michael kors outlet clearance
supra shoes
abercrombie and fitch
ralph lauren outlet
hollister
gucci outlet
louis vuitton outlet online
air max 90
ugg outlet
retro 11
cheap uggs
cheap ugg boots
michael kors handbags
coach outlet