Punto informatico Network

Canali
Centro sicurezza PC, sicurezza, allarme, allerta, avviso

Rogue Antivirus e KeyLogger con Antivirus XP 2008

25/08/2008
- A cura di
Sicurezza - Uno dei più diffusi e insidiosi rogue antivirus registra anche i tasti premuti dall'utente. Analisi e rimozione.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

antivirus (3) , xp (1) , rogue (1) , keylogger (1) , rogue software (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 424 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

I rogue antivirus sono programmi che notificano all'utente la presenza di numerosi malware installati sul sistema operativo, e lo inducono poi a comprare un falso antivirus per eliminare le minacce trovate. Si tratta di un tipo di malware che si sta diffondendo sempre più, e purtroppo ancora molte persone cadono nella trappola.

Antivirus XP 2008 è un rogue software molto insidioso, poiché oltre all'ordinario compito di falso antivirus, svolge anche la funzione di KeyLogger e di Downloader. Pertanto, è in grado di registrare tutti i tasti premuti dall'utente, e di scaricare altri software nocivi da Internet.

Stranamente, il sito non presenta pop-up che mi incitino a scaricare il software, sono libero di eseguire un controllo e di scaricare il programma. Comunque, alla fine della pagina, sono presenti numerosi riconoscimenti fasulli.

XP_Antivirus_2008_3.JPG

Non sono riuscito a trovare né sul sito web del rogue, né all'interno del malware una licenza. Quando ho eseguito l'antivirus quindi, non ho accettato nessuna condizione, quindi mi verrebbe da pensare che sia oltretutto illegale.

Azioni del malware

Ho installato Comodo firewall che con la sua Defense+ mi avvisava praticamente di ogni azione del malware e mi ha aiutato molto nella sua analisi.

Per prima cosa, il file da cui parte l'infezione, di nome XP-Antivirus-2008.exe, tenta di collegarsi a un sito di hosting (sito peraltro segnalato come malevolo da Mozilla Firefox) per scaricare il file lcdmravg.exe:

XP_Antivirus_2008_1.JPG

Quindi, crea il file lcdmravg.exe in C: \Windows\System32 e lo esegue:

XP_Antivirus_2008_2.JPG

Anche il nuovo file cerca di collegarsi allo stesso IP a cui si era connesso il file iniziale. Poi ecco un evento insolito: Defense+ mi avvisa che lcdmravg.exe sta cercando di accedere alla tastiera. Vorrà forse mettere al sicuro le mie password e i miei dati personali?

XP_Antivirus_2008_5.JPG

Poi, XP-Antivirus-2008.exe crea il file hmnelols.exe nella cartella C:\Documents and Settings\All Users\Dati applicazioni\nidojyfw, che a sua volta richiama regsvr32.exe:

XP_Antivirus_2008_7.JPG

Il file regsvr32.exe appena richiamato crea una dll di nome UiCom.dll nella cartella C:\Programmi\eeljlsf e la mette in avvio automatico. Poi, installa un Global Hook che permetterà alla dll di sintonizzarsi con la tastiera.

XP_Antivirus_2008_9.JPG

Il file XP-Antivirus-2008.exe viene eliminato, e il Task Manager viene disabilitato: il malware è pienamente operativo. Alla fine, cerca di accedere a explorer.exe per mostrarmi un messaggio di allarme malware in stile Windows Firewall:

XP_Antivirus_2008_16.JPG

Bello vedere che non posso decidere di tenermi il computer così com'è, e qualunque bottone io prema (fuorché X rossa per chiudere la finestra), vengo rimandato a un sito web per comprare un altro rogue antivirus:

XP_Antivirus_2008_23.JPG

Al riavvio del sistema, mi trovo con i due processi del malware attivi:

XP_Antivirus_2008_22.JPG

Poi, lcdmravg.exe inizia a creare decine di file nelle directory più strane da lui create, con nomi assurdi, proprio per simulare meglio l'infezione. In realtà si tratta di innocui file di 4 kB l'uno:

XP_Antivirus_2008_32.JPG

Alla fine, decido di fare un test con Anti-Keylogger, e... Magia! Mi spunta fuori la famigerata UiCom.dll nella lista dei rilevamenti!

XP_Antivirus_2008_34.JPG

Pagine
  1. Rogue Antivirus e KeyLogger con Antivirus XP 2008
  2. Rimozione
  3. Ultime operazioni e Conclusioni

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.4 sec.
    •  | Utenti conn.: 136
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.16