Da un paio di settimane circola su Internet un nuovo falso antivirus per Windows che sopraggiunge come allegato alla posta elettronica e che, per indurre gli utenti ad eseguirlo, fa leva su ormai collaudatissime tecniche di social engineering. Tecniche vecchie quanto lo spam, eppure - a sentire gli esperti di sicurezza - tuttora efficaci: in un recente rapporto di Symantec si apprende che i cosiddetti rogueware, ossia i programmi maligni che si mascherano da tool antivirus o antispyware, si trovano annidati in milioni di PC di tutto il mondo.
Per diffondersi, il falso antivirus si fa passare per un tool distribuito da Microsoft con l'intento di fermare una nuova ondata di attacchi del famoso worm Conficker. Come accade sempre più di frequente, un malware sfrutta dunque la popolarità di un altro malware per ingannare gli utenti meno smaliziati. Il programma fà parte della famiglia Fake Rean.
Il messaggio sostiene che il worm Conficker sta velocemente infettando gli utenti di Windows, e che Microsoft ha già avvisato il provider dell'utente che il suo network è infetto. Per eliminare il worm dal sistema, all'utente viene raccomandato di utilizzare il programma antivirus allegato all'email. Il messaggio riporta come firme fittizie "Microsoft Windows Agent #2 (Hollis)" e "Microsoft Windows Computer Safety Division".
L'allegato contenente il falso tool anti-Conficker porta il nome di Install.zip e contiene al proprio interno il file eseguibile install.exe di circa 45 KB. Se lanciato, il programma avvisa l'utente che il sistema è infetto (v. immagine a lato) e lo invita a scaricare un falso scanner antivirus chiamato Antivirus Pro 2010 (noto anche con altri nomi, quali XP AntiSpyware 2009, PC Security 2009, WinReanimator ecc.).
Via: Punto Informatico
