www.MegaLab.it

I rogue antivirus sono programmi che notificano all'utente la presenza di numerosi malware installati sul sistema operativo, e lo inducono poi a comprare un falso antivirus per eliminare le minacce trovate. Si tratta di un tipo di malware che si sta diffondendo sempre più, e purtroppo ancora molte persone cadono nella trappola.

Antivirus XP 2008 è un rogue software molto insidioso, poiché oltre all'ordinario compito di falso antivirus, svolge anche la funzione di KeyLogger e di Downloader. Pertanto, è in grado di registrare tutti i tasti premuti dall'utente, e di scaricare altri software nocivi da Internet.

Stranamente, il sito non presenta pop-up che mi incitino a scaricare il software, sono libero di eseguire un controllo e di scaricare il programma. Comunque, alla fine della pagina, sono presenti numerosi riconoscimenti fasulli.

Non sono riuscito a trovare né sul sito web del rogue, né all'interno del malware una licenza. Quando ho eseguito l'antivirus quindi, non ho accettato nessuna condizione, quindi mi verrebbe da pensare che sia oltretutto illegale.

Azioni del malware

Ho installato Comodo firewall che con la sua Defense+ mi avvisava praticamente di ogni azione del malware e mi ha aiutato molto nella sua analisi.

Per prima cosa, il file da cui parte l'infezione, di nome XP-Antivirus-2008.exe, tenta di collegarsi a un sito di hosting (sito peraltro segnalato come malevolo da Mozilla Firefox) per scaricare il file lcdmravg.exe:

Quindi, crea il file lcdmravg.exe in C: \Windows\System32 e lo esegue:

Anche il nuovo file cerca di collegarsi allo stesso IP a cui si era connesso il file iniziale. Poi ecco un evento insolito: Defense+ mi avvisa che lcdmravg.exe sta cercando di accedere alla tastiera. Vorrà forse mettere al sicuro le mie password e i miei dati personali?

Poi, XP-Antivirus-2008.exe crea il file hmnelols.exe nella cartella C:\Documents and Settings\All Users\Dati applicazioni\nidojyfw, che a sua volta richiama regsvr32.exe:

Il file regsvr32.exe appena richiamato crea una dll di nome UiCom.dll nella cartella C:\Programmi\eeljlsf e la mette in avvio automatico. Poi, installa un Global Hook che permetterà alla dll di sintonizzarsi con la tastiera.

Il file XP-Antivirus-2008.exe viene eliminato, e il Task Manager viene disabilitato: il malware è pienamente operativo. Alla fine, cerca di accedere a explorer.exe per mostrarmi un messaggio di allarme malware in stile Windows Firewall:

Bello vedere che non posso decidere di tenermi il computer così com'è, e qualunque bottone io prema (fuorché X rossa per chiudere la finestra), vengo rimandato a un sito web per comprare un altro rogue antivirus:

Al riavvio del sistema, mi trovo con i due processi del malware attivi:

Poi, lcdmravg.exe inizia a creare decine di file nelle directory più strane da lui create, con nomi assurdi, proprio per simulare meglio l'infezione. In realtà si tratta di innocui file di 4 kB l'uno:

Alla fine, decido di fare un test con Anti-Keylogger, e... Magia! Mi spunta fuori la famigerata UiCom.dll nella lista dei rilevamenti!