RogueSoftware - I nuovi parassiti

I RogueSoftware non sono altro che finti programmi di sicurezza.
Utilizzano molto le publicità per diffondersi, infatti mostrano dei falsi avvisi su presunte infezioni presenti nel sistema per spingere il malcapitato a comprare il loro programma.

Questi programmi sono sempre piu ben fatti, ed hanno sempre piu nomi molto comuni in modo da riuscire ad ingannare il maggior numero di utenti.

La miglior difesa é la diffidenza, quindi non fate mai fiducia a finestre popup che promettono miracoli, o a programmi che hanno il solo scopo di farsi comprare.

Da oggi ho deciso di segnalare le nuove versioni/varianti di questi rogue, mostrandovi la loro interfaccia in modo da poterli riconoscere piu facilmente, e nei limiti del possibile cerchero anche di indicarvi il modo per eliminarli nel caso avessero colpito anche voi.

------------------------------------------------------------------

Ultimate Defender



Ultimate Defender sembra essere legato a delle vecchie infezioni quali SpywareQuake e WinFixer. Si installa con l'aiuto di un trojan sfruttando le falle del navigatore o ancora con i famosi popup.Una volta installato si assicura l'avvio insieme al sistema e mostra dei falsi avvisi con presunti rischi per la vostra privacy in modo da indurvi a comprare la versione completa del programma.

Crea i seguenti file :

Codice:


app.exe
iesafe.exe
tmpwisc2.exe
udefender_installer.exe
uninstall.exe
update.exe
update.exeapp.exe
UDefender_Installer[1].exe

collegamenti nel registro

Codice:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run ultimate defender
HKEY_CURRENT_USER\software\ultimate defender
HKEY_CURRENT_USER\software\ultimate defender hide
HKEY_CURRENT_USER\software\ultimate defender lastrun
HKEY_CURRENT_USER\software\ultimate defender remind_at
HKEY_CURRENT_USER\software\ultimate defender state
HKEY_CURRENT_USER\software\ultimate defender totaldetected
HKEY_CURRENT_USER\software\ultimate defender totalruns
HKEY_CURRENT_USER\software\ultimate defender\erase
HKEY_CURRENT_USER\software\ultimate defender\scan
HKEY_CURRENT_USER\software\ultimate defender\scan options
HKEY_CURRENT_USER\software\ultimate defender\scripts\variables
HKEY_CURRENT_USER\software\ultimate defender\settings
HKEY_CURRENT_USER\software\ultimate defender\settings scheduleoptions
HKEY_CURRENT_USER\software\ultimate defender\settings scheduletime
HKEY_CURRENT_USER\software\ultimate defender\settings tipday
HKEY_CURRENT_USER\software\ultimate defender\settings tipn
HKEY_CURRENT_USER\software\ultimate defender\shield\application agent checkpoints\application restrictions
HKEY_CURRENT_USER\software\ultimate defender\shield\application agent checkpoints\application restrictions optionsHKEY_CURRENT_USER\software\microsoft
HKEY_CURRENT_USER\software\ultimatedefender
HKEY_CURRENT_USER\software\ultimatedefenderhide
HKEY_CURRENT_USER\software\ultimatedefenderlastrun
HKEY_CURRENT_USER\software\ultimatedefenderremind_at
HKEY_CURRENT_USER\software\ultimatedefenderstate
HKEY_CURRENT_USER\software\ultimatedefendertotaldetected
HKEY_CURRENT_USER\software\ultimatedefendertotalruns
HKEY_CURRENT_USER\software\ultimatedefender\erase
HKEY_CURRENT_USER\software\ultimatedefender\scan
HKEY_CURRENT_USER\software\ultimatedefender\scanoptions
HKEY_CURRENT_USER\software\ultimatedefender\scripts\variables
HKEY_CURRENT_USER\software\ultimatedefender\settings
HKEY_CURRENT_USER\software\ultimatedefender\settingsscheduleoptions
HKEY_CURRENT_USER\software\ultimatedefender\settingsscheduletime
HKEY_CURRENT_USER\software\ultimatedefender\settingstipday
HKEY_CURRENT_USER\software\ultimatedefender\settingstipn
HKEY_CURRENT_USER\software\ultimatedefender\shield\applicationagentcheckpoints\applicationrestrictions
HKEY_CURRENT_USER\software\ultimatedefender\shield\applicationagentcheckpoints\applicationrestrictionsoptions
Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Ultimate Defender
UltimateDefender

SmitfraudFix é in grado di eliminare UltimateDefender

----------------------------------------------------------------------------------

Windows Antivirus 2008,conosciuto anche come Antivirus 2008 o Antivirus2008Pro, é un'altro falso Antivirus.
Questo rogue si installa mediante codec quali , Video ActiveX Codec, Flash Activex Object ,etc.... Una volta installato visualizza anch'esso
dei falsi avvisi,i quali vi avvertono che il vostro pc é infetto e che per disinfettarlo bisogna fare uno scan con u programma di nome Windows Antivirus 2008.
Se abboccate e installate il programma, i falsi avvisi aumenteranno e questa volta la richiesta é quella di comprare la versione completa del programma.

Codice:

La miglior difesa é la diffidenza, quindi non fate mai fiducia a finestre popup che promettono miracoli, o a programmi che hanno il solo scopo di farsi comprare.

------------------------------------------------------------------

Windows Antivirus 2008



Windows Antivirus 2008 é un rogue molto insidioso, infatti una volta nel sistema, installa anche il pericoloso trojan zlob.

Eseguibili associati al rogue

Codice:

wav.exe
WAV2008Setup[1].exe

collegamento di avvio automatico nel registro

Codice:

HKLM_Microsoft\Windows\CurrentVersion\Run\WindowsAntivirus

XP Antispyware 2009 é un programma rogue ,il metodo per installarsi nel sistema é il medesimo di quello usato dai rogue elencati sopra, e il suo intento é sempre quello di farvi acquistare la versione completa del soft.

Codice:

La miglior difesa é la diffidenza, quindi non fate mai fiducia a finestre popup che promettono miracoli, o a programmi che hanno il solo scopo di farsi comprare.

------------------------------------------------------------------

XP Antispyware 2009



File associati al programma:

Codice:


\Program Files\XP_AntiSpyware
(nella cartella XP_Antispyware sono contenuti moltissimi file che non sto qui ad elencare, eliminate tutta la cartella)
\WINDOWS\akikuvopa.dll
\WINDOWS\lydumyhery.scr
\WINDOWS\radimup.lib
\WINDOWS\toli.pif
\WINDOWS\system32\_scui.cpl
\WINDOWS\system32\oxatymy.dll
%UserProfile%\Application Data\mepa.com
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\XP_AntiSpyware.lnk
%UserProfile%\Cookies\guwysa.dat
%UserProfile%\Cookies\sasu.bat
%UserProfile%\Desktop\XP_AntiSpyware.lnk
%UserProfile%\Local Settings\Application Data\jyxot.dl
%UserProfile%\Local Settings\Application Data\mivekely._sy
%UserProfile%\Local Settings\Application Data\pozik.vbs
%UserProfile%\Local Settings\Application Data\wosi.vbs
%UserProfile%\Start Menu\Programs\XP_AntiSpyware
%UserProfile%\Start Menu\Programs\XP_AntiSpyware\Uninstall.lnk
%UserProfile%\Start Menu\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk


Collegamenti nel registro:

Codice:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XP_AntiSpyware
HKLM\SOFTWARE\XP_Antispyware
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "XP Antispyware 2009"
HKEY_CURRENT_USER\Control Panel\don't load "scui.cpl"
HKEY_CURRENT_USER\Control Panel\don't load "wscui.cpl"


SmitfraudFix rimuove il rogue in questione
lo fà anche MalwareBytes

video su come funzionano i Rogue (la tattica di Antivirus2009 per ingannare)

http://secuboxlabs.fr/archives/computertoday.html

qui video sul rootkit rustock (pe386)
http://www.gmer.net/pe386.wmv

Posso segnalare un RogueSoftware?

EDIT By Steve75

Il programma a cui riferivi,anche se tempo indietro era in lista su Spyware Warrior (falsi programmi di sicurezza o comunque non affidabili) , non si puo definire un rogue software, quindi ho dovuto editare il tuo post.

Per inserire un rogue software nella lista del forum, bisogna creare una recensione dettagliata su quest'ultimo, ( screen, file e chiavi create) e fornire una procedura di rimozione , come quella che vedi per gli altri rogue.