Rogue Antivirus

Nessuno sa bene perché, ma i criminali informatici seguono le mode: adesso è il momento dei Rogue Antivirus, quei programmi camuffati da prodotti di sicurezza che cercano di spillare soldi agli utenti promettendo di rimuovere minacce inesistenti dai loro computer.

Secondo la terminologia tradizionale, si tratta di trojan horse: spesso è l’utilizzatore stesso a installarli, scambiandoli per screensaver, codec video, plug-in per il browser o altri oggetti parimenti indispensabili. Altre volte si “recapitano” da soli, sfruttando le vulnerabilità dei browser o dell’Acrobat Reader (altra moda recente).
Ce ne sono in giro tantissimi e la brutta notizia è che non sempre gli antivirus sono aggiornati per rilevarli e rimuoverli:  in attesa che il nostro produttore di fiducia arrivi con l’impronta miracolosa, possiamo cercare di arginare il problema da soli (ok, oppure spegnere il computer e andare a fare quattro passi, ma non è da veri geek).

Dopo il salto pagina, la cronaca del mio incontro non fortuito con un finto antivirus  e una vera utility.

Oggi ho provato a infettare una macchina virtuale con uno di questi rogue, tale “My Security Engine”.

Have You Seen This Rogue

Abbastanza tipico, una bella finestra colorata che assomiglia a quella del Security Center (questo però è “Advanced”) in cui mi si informa che la mia macchina è in pericolo; quello che non si vede è che ogni 15 minuti circa, viene visualizzato un pop-up che ribadisce il concetto invitandomi a cliccare sul pulsante “OK” per disinfettare il pc. Se lo faccio, il browser si collega a un sito Web dove mi viene chiesto di acquistare un prodotto miracoloso che risolverà i miei problemi.

Se io fossi un utente in gamba, a questo punto avrei già capito che si tratta di una truffa e vorrei mandare un campione di questo trojan al mio fornitore di antivirus; ma soprattutto vorrei togliere quella benedetta finestra dallo schermo e bloccare i pop-up. Si tratta di sapere qual è il processo che li controlla.

Per ottenere questa informazione installo l’utility Process Explorer di Mark Russinovich: è un sostituto del Task Manager all’ennesima potenza, capace di visualizzare qualunque processo attivo e le sue proprietà (DLL utilizzate, file e handle aperti e molto altro ancora).

Ora posso vedere la lista dei processi attivi, ma ho bisogno di sapere a quale di loro appartiene la finestra. Fortunatamente Process Explorer ha esattamente la feature che mi serve: basta cliccare sul “mirino” che sta sulla sua barra degli strumenti:

e trascinarlo sulla finestra che vogliamo identificare, per evidenziare il processo che l’ha creata (è l’ultimo in basso nell’immagine qui sotto)

Ora che sappiamo qual è il processo che ci interessa, possiamo  farci un doppio clic e ricavarne qualche informazione. Ad esempio, vediamo dove si trova il suo file eseguibile (così potremo cancellarlo in seguito) e se ha aperto delle connessioni di rete.

Process Explorer ha perfettamente ragione, il file è “packed”, cioè compresso: questo significa che se lo aprissi con un editore esadecimale non sarei in grado di trovarci delle stringhe leggibili: però Process Explorer mi offre la possibilità di cercare le stringhe nell’immagine in memoria, piuttosto che nel file su disco.

Fortunatamente questo malware non si preoccupa di offuscare le stringhe in memoria, quindi sono leggibili: qui ad esempio vediamo tra le altre cose il riferimento a una chiave del registro. Facciamo una ricerca e troviamo che in effetti quella chiave è stata modificata per lanciare l’eseguibile del malware:

Ovviamente la ricerca non finisce qui, si tratta solo di un esempio: in questo caso, andrò a cercare tutti i riferimenti nel registro per poterli rimuovere.

Una volta trovate tutte le informazioni che mi occorrono, posso interromperlo con “Kill” in modo da liberarmi della sua finestra e dei suoi pop-up. A questo punto, so dove si trova il suo file sul disco e sono in grado di inviarlo al mio fornitore di antivirus per un’analisi completa e per ottenere un’impronta aggiornata.

Advertisements

Lascia un commento

Archiviato in Informatica

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...