www.MegaLab.it

L'infezione

Avviando l'eseguibile scaricato in precedenza vediamo che esegue il download del vero rogue software.

Se andiamo a leggere le condizioni d'uso del programma, ci troviamo che il creatore è la famigerata Innovagest 2000, già conosciuta per il Macguard e tanti altri software rogue come Antivirus XP 2008.

La parte principale del rogue è composto da un solo eseguibile Av360.exe che si posiziona all'interno della cartella programmi.

E vuole andare subito in esecuzione.

Per poi connettersi ad Internet.

Subito segnala la presenza di aggiornamenti per il programma.

Ma se vogliamo scaricarli dobbiamo registrarci e pagare che è lo scopo finale di tutti i rogue software: rubare soldi e qualche dato importante da rivendere, come i numeri di carte di credito o informazioni personali.

Si avvia subito la solita scansione fasulla.

La scansione trova un buon numero di problemi presenti in varie parti del computer, questa volta identificano anche i percorsi, peccato che sbaglino il verso delle barre così ci ritroviamo ad avere la cartella c://windows/system32.

Poi un'altra serie di messaggi inquietanti che appaiono saltuariamente mentre abbiamo il PC acceso e non ci siamo ancora sbarazzati di questo rogue.

Soprattutto questo messaggio viene ripetuto più volte ricordandoci quali problemi potrebbero capitare al nostro computer visto che è così "gravemente" infetto.

Durante la scansione vengono scaricati da Internet un altro paio di file eseguibili.

Ieupdates.exe viene mandato subito in esecuzione.

Questo ieupdates.exe è riconosciuto da pochissimi antivirus.

Intanto continuano i messaggi di allarme che compaiono, anche se il collegamento ad Internet è chiuso.

Ieupdates.exe crea un altro file eseguibile explorer32.exe e gli permette di avviarsi ad ogni accensione del computer.

Il programma si connette ad Internet e scarica il file winsystems.dll.

Che si copia subito nella cartella Windows\system32, cambiando nome in winsrc.dll, inserendosi come Toolbar in Internet Explorer.

Questo è il risultato dell'infezione completa del rogue sul browser Internet Explorer. Si cerca di far passare il rogue Antivirus 360 come un software legittimo e raccomandato da Google.

Tra le altre cose che il rogue installa nel computer, e che si visualizza nella system tray è una sorta di centro di sicurezza che ricorda quello già presente in Windows, visualizzato anche con la stessa icona rossa.