image

WinRAR download installeert nep-virusscanner

dinsdag 16 december 2008, 10:25 door Redactie, 5 reacties

Het openen van Google advertenties is niet zonder risico, dit keer maken internetcriminelen zogenaamd reclame voor WinRAR, maar wie de de gesponsorde link opent eindigt met een nep-virusscanner. Wie in Google op 'Winrar' zoekt loopt de kans als eerste resultaat een gesponsorde link te zien. De advertentie linkt naar een nepversie van CNET's Download.com en belooft een "spyware vrij" exemplaar van het populaire in- en uitpakkprogramma. Op de echte versie van Download.com is de software al 67 miljoen keer gedownload.

Om gebruikers die het bestand van de nepsite downloaden niets te laten vermoeden, wordt er een werkende WinRAR versie geïnstalleerd. Daarnaast plaatst het ook een kwaadaardig bestand genaamd explore.exe. Dit bestand wijzigt het hosts bestand en laat elke keer een popup zien met de tekst "intervalhehehe". Wie bijvoorbeeld op Google naar de tekst wil zoeken wordt vanwege de hosts aanpassing naar een nepversie van het Microsoft Security Center doorgestuurd. Die laat gebruikers geloven dat hun systeem inderdaad met malware besmet is en men via de aangeboden link een oplossing kan downloaden.

Dit is echter een nep-virusscanner die 40 dollar kost. Een vlugge blik op de echte Google leert dat al tal van mensen via de aanval besmet zijn geraakt. Eerder ontdekten Britse onderzoekers dat zo'n 40% van de internetgebruikers de advertenties van Google standaard negeert.

Reacties (5)
16-12-2008, 10:50 door [Account Verwijderd]
[Verwijderd]
16-12-2008, 12:34 door nicolaasjan
Door Iceyoung
"...
Heeft iemand de goede link dan tracen we die even naar de bron !!

..."

http://www.google.nl/interstitial?url=http://www.freewaredown.com.cn/winrar.htm

Groeten, nico
16-12-2008, 14:11 door Marco3
Sowieso is het altijd beter om je software direct bij de bron op te halen i.p.v. download.com of tucows e.d.
Dan ben je tevens verzekerd van de nieuwste versie.
16-12-2008, 17:44 door [Account Verwijderd]
[Verwijderd]
16-12-2008, 22:53 door Zarco.nl
Het gedownloade bestand heeft niet eens het officiele icoon van WinRar...!

Wat [url=http://www.virustotal.com/analisis/654d837ddffe8731331fead899f4ef57]VirusTotal[/url] er van vind:
Antivirus Version Last Update Result
AhnLab-V3 2008.12.17.0 2008.12.16 -
AntiVir 7.9.0.45 2008.12.16 -
Authentium 5.1.0.4 2008.12.16 -
Avast 4.8.1281.0 2008.12.16 -
AVG 8.0.0.199 2008.12.16 -
BitDefender 7.2 2008.12.16 -
CAT-QuickHeal 10.00 2008.12.16 -
ClamAV 0.94.1 2008.12.16 -
Comodo 764 2008.12.16 -
DrWeb 4.44.0.09170 2008.12.16 -
eSafe 7.0.17.0 2008.12.16 -
eTrust-Vet 31.6.6263 2008.12.16 -
Ewido 4.0 2008.12.16 -
F-Prot 4.4.4.56 2008.12.16 -
F-Secure 8.0.14332.0 2008.12.16 -
Fortinet 3.117.0.0 2008.12.16 -
GData 19 2008.12.16 -
Ikarus T3.1.1.45.0 2008.12.16 -
K7AntiVirus 7.10.555 2008.12.16 -
Kaspersky 7.0.0.125 2008.12.16 -
McAfee 5466 2008.12.16 -
McAfee+Artemis 5466 2008.12.16 -
Microsoft 1.4205 2008.12.16 Trojan:Win32/Sibleep.gen
NOD32 3695 2008.12.16 probably unknown NewHeur_PE
Norman 5.80.02 2008.12.16 -
Panda 9.0.0.4 2008.12.15 -
PCTools 4.4.2.0 2008.12.16 -
Prevx1 V2 2008.12.16 Cloaked Malware
Rising 21.08.12.00 2008.12.16 -
SecureWeb-Gateway 6.7.6 2008.12.16 -
Sophos 4.36.0 2008.12.16 Mal/Emogen-F
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.16 Trojan.Chost
TheHacker 6.3.1.4.189 2008.12.16 -
TrendMicro 8.700.0.1004 2008.12.16 -
VBA32 3.12.8.10 2008.12.16 -
ViRobot 2008.12.16.1521 2008.12.16 -
VirusBuster 4.5.11.0 2008.12.16 -

Ook [url=http://anubis.iseclab.org/?action=result&task_id=1ab13304d077a4ff439bb47dfa0018599&format=html]Anubis[/url] laat zien dat er niet echt fijne dingen worden uitgevroten door het programma:
Autostart capabilities: This executable registers processes to be executed at system start. This could result in unwanted actions to be performed automatically.
Changes security settings of Internet Explorer: This system alteration could seriously affect safety surfing the World Wide Web.
Performs File Modification and Destruction: The executable modifies and destructs files which are not temporary.
Spawns Processes: The executable produces processes during the execution.
Performs Registry Activities: The executable reads and modifies register values. It also creates and monitors register keys.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.