Dopo aver scritto in Agosto l'articolo sui rogue software per mostrarne le immagini dei principali e più diffusi falsi antivirus, pensavo che ci sarebbe stato un periodo di calma. Invece in Settembre la situazione è peggiorata: nuovi rogue spuntano fuori ogni giorno e anche i siti che li distribuiscono sono tantissimi.

Analizzando l'installazione e il comportamento di alcuni di essi, sono molte le cose in comune che hanno molti di questi software.

Inizialmente si presentavano con delle false pagine di scansione online dove venivano rilevati moltissimi problemi assolutamente immaginari, da queste pagine si scaricava un piccolo eseguibile che serviva da downloader per il resto del malware.

Invece ora si possono scaricare dei programmi completi dotati di una vera procedura installazione.

Vediamo ora come si somigliano tra di loro Power antivirus, Spyware Preventer e System antivirus 2008 (grafica, messaggi di allarme, file e cartelle create, metodi di pagamento e registrazione) e come Ea antivirus abbia molte caratteristiche in comune con XP antivirus 2008, infine Internet Antivirus e Antivirus Security che si copiano la grafica in home page.

Non ho preparato degli script di rimozione per ogni rogue: i programmi cambiano spesso e quindi sarebbero inutili, meglio affidarsi a buoni programmi per l'eliminazione dei malware come SUPERAntiSpyware o MalwareBytes, tutti e due i programmi sono disponibili anche in versione gratuita.

Spyware Preventer

Nei vari siti che distribuiscono questo malware, appaiono i messaggi che invitano alla scansione dove si presenta come Windows XP Anti-Spyware Scanner, ma quando andremo a installare il Rogue scaricato, questo si chiama Spyware Preventer.

Basta premere il tasto Ok all'interno di uno dei messaggi.E si avvia la falsa scansione che rileva moltissimi problemi assolutamente inesistenti.

Al termine della scansione, compiuta anche su un Removable storage (disco esterno) che non era nemmeno collegato al mio computer, appare l'avviso dei problemi trovati in una finestrella centrale che non si chiude e che su qualsiasi punto si tenti di cliccare apre una seconda finestra

Che invita all'installazione del programma

Il file d'installazione del rogue SPPSetup.exe è riconosciuto da un buon numero di antivirus.Il Rogue si installa nella cartella SPP ed è composto da soli tre file.

Si inserisce in avvio automatico

E crea anche un'icona a forma di scudo nel Pannello di controllo

Una volta avviato il programma, che presenta una buona grafica, la scansione mostra la solita quantità esagerata di problemi trovati, ma non si riesce mai a capire dove siano realmente.

La visualizzazione ripetuta di alcuni messaggi durante la scansione può contribuire ad allarmare ancora di più l'utente e a fargli credere di trovarsi di fronte ad un vero problema.

Terminata la scansione viene presentato un report delle infezioni trovate e di tutti i problemi che possono causare.

Se decidete per l'acquisto vengono proposti anche più tipi di licenze a costi diversi.

Poi dopo aver pagato e ricevuto il codice, non rimane che attivarlo.

Vediamo adesso come sbarazzarcene dal nostro PC nel caso lo avessimo scaricato e installato per errore.

Si possono cancellare manualmente i file che ho indicato prima, cioè tutta la cartella C:\Programmi\SPP e il file spp.cpl che si trova in Windows\System32, poi con HijackThis si possono rimuovere le due voci che si creano nell'avvio automatico.

Oppure si può ricorrere a Malwarebytes, che non riconosce però completamente il Rogue

Oppure a SUPERAntiSpyware che lo elimina completamente.

System antivirus 2008

Nei vari messaggi allarmistici che appaiono, il programma si presenta prima come Online XP antivirus checker e poi diventa Web Spy Shield, una volta installato nel computer diventa System Antivirus 2008

Piccola animazione flash per movimentare la pagina e dare l'illusione di un programma in fase di caricamento.

Durante una veloce scansione, in cui vengono visualizzate anche alcune immagini pornografiche, veniamo avvisati che si stanno cercando immagini hard e tutti i siti porno che sono stati visitati dal computer, al suo termine appare il risultato della scansione.

In una finestrella che non si può chiudere e che mostra alcuni misteriosi malware, su qualsiasi cosa si vada a cliccare si scarica il file antivirus.v.1.0.0.exe che agisce da downloader per il resto del malware.

Il file d'installazione è riconosciuto da pochi antivirus. Viene distribuito da più siti e alcuni danno delle versioni diverse riconosciute solo dall'antivirus Microsoft.

Una volta installato si avvia la scansione che rimane sempre in primo e trova moltissimi problemi senza spiegare dove siano.

Compare sempre il misterioso virus Blaster/Sasser che minaccia il nostro computer.

E il risultato finale con ben 143 infezioni trovate e tutti i problemi che potrebbero causare.

Anche qui bisogna pagare per potere avere la versione completa con diversi tipi di licenze.

Cambia solo il prezzo dell'ultima versione cresciuto di 20$ rispetto a Power Antivirus (si vede che questo Rogue è migliore dell'altro).

Non rimane che registrarsi per far scomparire i messaggi allarmistici che continuano ad assillare l'utente.

Il programma si piazza in esecuzione automatica e vi mette anche un file a.exe che si trova nella cartella Temp del vostro utente.

È presente la stessa icona a forma di scudo nel pannello di controllo.

In questo caso i due programmi Malwarebytes e SUPERAntiSpyware riconoscono ed eliminano senza problemi System antivirus 2008.

Power Antivirus

Nuova versione per un rogue già disponibile da alcune settimane, infatti i programmi di rimozione non lo riconoscono che in piccolissima parte.

Qualsiasi pulsante si prema in home page si scarica sempre un piccolo eseguibile con funzione di downloader per il resto del rogue.

Il file PWXSETUP.EXE che si scarica è abbastanza riconosciuto dai principali programmi antivirus.

La finestra di scansione rimane sempre in primo piano e non si riesce ad abbassare.

Durante la scansione appaiono dei frequenti messaggi riguardanti una misteriosa variante di virus Blaster/Sasser assolutamente inesistente.

Una volta conclusa la scansione vengono segnalati tutti i problemi che potrebbero causare i malware presenti nel vostro PC.

Come sempre l'importante è pagare, sono offerti anche più tipi di licenze a costi diversi.

Dopo aver pagato non rimane che registrarsi.

Non si riesce neanche a chiudere il programma se non dal task manager, non c'è la possibilità di disinstallarlo.

Il rogue si inserisce in esecuzione automatica.

E presenta anche un icona nel pannello di controllo con nome Vista AV (Ma il programma non si chiamava Power antivirus?)

Sembra una dimenticanza del programmatore che non ha cambiato il nome dell'icona visto che avevano appena modificato la versione di questo rogue.

Essendo una nuova versione del rogue, Malwarebytes ne riconosce solo il link al programma presente sul desktop e una chiave di registro.

Non va molto meglio a SUPERAntiSpyware che riconosce solo una chiave di registro.

EAntivirusPro

Home page graficamente accattivante, il Rogue è il clone di XP Antivius 2008 di cui ne mantiene molte caratteristiche.

La grafica del programma, una volta installato, ricorda quella dei tre precedenti Rogue che abbiamo analizzato, l'obbligo di accettare l'installazione del software e i nomi strani degli eseguibili sono utilizzati anche da XP Antivirus 2008, inoltre facendo analizzare uno degli eseguibili del Rogue sul sito di VirusTotal, molti dei programmi antivirus lo riconoscono come una variante di XP Antivirus 2008.

Premendo i pulsanti download e free scan si scarica un eseguibile eAntivirusProInstaller.exe che installa tutto il Rogue, anche se si collega un paio di volte ad Internet durante l'installazione.

Durante l'installazione si è obbligati ad essere d'accordo con i termini del programma e premere per forza Agree and Install.

Questa invece è la schermata della licenza di Antivirus XP 2008, come vedete è identica alla precedente.

Grafica accattivante e oltre duemila falsi problemi trovati, anche qui non si capisce dove siano i problemi (caratteristica comune a tutti i programmi rogue).

Questa è la schermata di Antivirus XP 2008, cambiano di poco i pulsanti, ma sono uguali i problemi che trovano i due rogue. Ripetuti messaggi d'allarme per preoccupare sempre l'utente.

Naturalmente vi è l'obbligo di registrarsi per poter rimuovere i problemi trovati.

Un unico tipo di licenza disponibile, ma quanti dati personali da dover fornire che possono poi essere rivenduti per ottenere un ulteriore guadagno.

Molto simile anche la schermata di XP Antivirus 2008 dove inserire i (troppi) dati personali necessari all'acquisto.

I file che compongono il rogue sono riconosciuti dalla maggior parte degli antivirus.

Se si cerca di chiudere eAntivirus agendo dall'icona del programma non ci si riesce, bisogna terminare i due processi attivi direttamente dal task manager. Nonostante la presenza di un file uninstall.exe il programma non viene rimosso completamente ma viene tolto solo dall'esecuzione automatica.

Questa è la cartella d'installazione di XP antivirus, cambia solo l'eseguibile principale ma non la forma strana del nome del file.

Il file presente in esecuzione automatica che avvia il rogue presenta un nome stranissimo, uguale a quello della cartella dove è contenuto.

Altro nome stranissimo anche per il secondo eseguibile, tipico di questo rogue, che si trova nella cartella Windows\system32, inoltre questo file ha il nome in comune tra eAntivirus e XP Antivirus.

Malwarebytes lo riconosce benissimo eliminando la cartella completa e tutte le chiavi di registro.

SUPERAntiSpyware si comporta peggio e non vede la cartella d'installazione del programma e quella nel profilo dell'utente che contengono la parte più consistente del rogue.

Internet Antivirus

Home page graficamente ben curata, basta premere il pulsante Download now per poter arrivare al rogue software.

Accettate le condizioni d'uso e scaricate il programma.

L'installazione è uguale a quella di un vero programma.

Una volta lanciata la scansione elenca veramente i file presenti nel mio computer, indicando però sempre i soliti fantasiosi problemi.

La grafica e i pulsanti scelti ricordano quelli degli altri rogue già visti in precedenza.

Non poteva mancare la tabella riassuntiva che non si chiude mai e che ti obbliga quasi a premere Register Now.

Sono disponibili varie licenze con fortissimi sconti per invogliare all'acquisto.

Se si cerca di chiudere la pagina dei prezzi ti ricordano che non hai ancora risolto i tuoi problemi e che devi registrarti.

Una volta arrivati alla pagina dei pagamenti, realizzata in uno stile visto più volte in passato, è richiesto l'inserimento di moltissimi dati personali.

Il rogue ha una sua cartella d'installazione dove è presente il file per poterlo disinstallare e un iv.exe, riconosciuto da pochissimi antivirus, molto più nascosto all'interno di una cartella del nostro account.

Malwarebytes ne riconosce poche componenti.

SUPERAntiSpyware si comporta meglio, non rimuove completamente la cartella d'installazione del rogue (restano le icone e il file di disinstallazione) ma elimina tutti gli elementi pericolosi.

Identifica e rimuove anche il file nascosto all'interno della cartella del nostro account.

Antivirus Security

Una piccola curiosità finale con Antivirus Security.

La grafica della home page è praticamente identica a quella di Internet antivirus.

Non si riesce a scaricare il programma, ma se vogliamo la "triall" version dobbiamo contattare il loro supporto.

Mentre il link BUY NOW rimanda alla pagina d'acquisto di Antivirus 2009, (quindi un programma completamente diverso) anche questa molto esigente in fatto di richiesta di dati personali.

Vediamo cosa abbiamo visto durante questo breve tour nel mondo dei rogue software.

• Una volta creato un rogue che funziona, bastano piccole modifiche per crearne uno nuovo.

• Le caratteristiche comuni a molti rogue farebbero pensare ad una mente unica, o ad una banda, che gestisca tutta l'operazione. Molti dei siti distributori dei rogue sono localizzati in Russia o nelle repubbliche ex-Sovietiche.
• Perché lo fanno? Guadagno immediato di qualche decina di euro, o di dollari, alcuni programmi richiedono inoltre l'inserimento di molti dati personali che possono essere poi rivenduti realizzando ulteriori soldi.
• Perché così tanti programmi e così tanto diffusi? È facile crearli ed è ancora più facile distribuirli, i siti dove si trovano i programmi nascono e scompaiono nel giro di pochi giorni in modo da non lasciare troppe tracce. E poi evidentemente devono rendere bene, altrimenti non perderebbero del tempo per farlo.

Come proteggerci?

• Mai credere ai popup allarmanti che appaiono mentre navighiamo, se il vostro PC è veramente infetto non ve lo possono dire senza aver installato niente nel vostro computer. Anzi il vostro PC si infetterà ancora di più se cadete nella loro trappola.
• Mai scaricare e installare niente di quello che viene proposto da questi popup o dalle finestre delle false scansioni on-line che venivano visualizzate per imbrogliare ancora di più l'incauto utente.
• Se proprio siete caduti nella trappola NON dovete pagare mai niente, questi falsi programmi si possono rimuovere.
• Utilizzare sempre un buon antivirus, Avira antivirus freeware aveva riconosciuto tutti i file d'installazione dei rogue che ho analizzato in questo articolo, ed almeno un paio di programmi antispyware per garantirsi una pulizia completa.

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .

Copyright 2008 MegaLab.it - Tutti i diritti sono riservati