www.MegaLab.it

Il mercato dei programmi fasulli, inutili e pericolosi, siano essi rogue o scareware software, rappresenta ormai un business veramente imponente. Il numero dei programmi presenti e dei siti che li spacciano è sempre più in crescita e le tecniche usate per convincere le persone ad installare e acquistare questi programmi sono sempre più insidiose. Basta guardare l'ultimo studio pubblicato da Symantec per leggere dei dati piuttosto interessanti.

Non stupisce ormai che ci siano applicazioni specifiche per ogni paese: mentre una volta erano solo in lingua inglese, come gli stessi siti che le proponevano, ora capita di trovare programmi, e siti, multilingua... e l'italiano non può mancare.

L'ultimo caso era stato con Registrydoktor ed ora tocca ad ArmorDefender, un falso antivirus con un nome ingannevole che può ricordare strumenti leciti come Online Armor e Windows Defender.

Il sito si presenta tradotto in un discreto italiano, tranne un "Compare" invece di "Comprare", solo che nelle pagine del sito ArmorDefender diventa ProtectDefender.

Pochi minuti dopo aver concluso l'articolo su ArmorDefender, ho trovato il sito di ProtectDefender, il suo perfetto clone. Così si spiega il perché del nome sbagliato nella pagina Web.

Si tratterà dell'ennesimo caso di mutazione di un rogue software, cosa vista in passato più volte e che non si è mai interrotta, e di qualche dimenticanza nella traduzione della pagina Web che lo pubblicizza.

Il programma si installa come un normale software. Inizialmente nella cartella ci sono solo i due eseguibili, poi si creano alcuni altri file.

ArmorDefender si posiziona in esecuzione automatica, in modo da avviarsi ad ogni accensione del computer, e poi crea alcune chiavi di registro.

HKEY_LOCAL_MACHINE\SOFTWARE\ArmorDefender\ HKEY_LOCAL_MACHINE\SOFTWARE\ArmorDefender\Install_Dir Valore: Stringa: "C:\Program Files\ArmorDefender Software\ArmorDefender" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ArmorDefender Valore: Stringa: ""C:\Program Files\ArmorDefender Software\ArmorDefender\ArmorDefender.exe" -min" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ArmorDefender\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ArmorDefender\DisplayName Valore: Stringa: "ArmorDefender" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ArmorDefender\NoModify Valore: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ArmorDefender\NoRepair Valore: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ArmorDefender\UninstallString Valore: Stringa: ""C:\Program Files\ArmorDefender Software\ArmorDefender\Uninstall.exe" /uninstall"

Il file principale del programma, dalle dimensioni di pochi kB, è scarsamente riconosciuto dagli antivirus.

Una volta avviato il programma parte subito la scansione senza lasciarmi nessuna possibilità di scegliere cosa controllare. Il log finale presenta la solita buona quantità di problemi fasulli su file che non sono nemmeno presenti nel mio PC.

Subito dopo partono i messaggi allarmistici che cercano di spaventare l'utente poco accorto per convincerlo ad acquistare il programma fasullo.

Prestate attenzione a non portare al "collasso" il vostro sistema.

Per pura curiosità gli ho dato da analizzare la mia raccolta di virus veri.Non vi preoccupate: non ne ha visto nessuno.

L'importante, per risolvere tutti i problemi, è acquistare e pagare quasi 50 dollari.

Rimozione