Mascherare il malware e farlo apparire come un legittimo software per la sicurezza è una pratica vecchia quasi quanto i virus stessi, ma nell’ultimo periodo sembra essersi intensificata in modo preoccupante. In un post apparso sul blog di Microsoft dedicato alla sicurezza, tre esperti del big di Redmond affermano che in una sola settimana – quella intercorsa tra l’11 e il 19 novembre – il Malicious Software Removal Tool ( MSRT ) ha rilevato tracce di alcuni falsi antivirus su quasi un milione di PC.
Come noto, MSRT è un tool gratuito che Microsoft distribuisce online insieme agli update di sicurezza mensili per Windows. Sebbene non si ponga come un sostituto del tradizionale antivirus, il programma è in grado di rilevare e rimuovere le principali minacce che interessano la piattaforma Windows, ed in modo particolare worm e cavalli di Troia.
L’ultima versione di MSRT è in grado di riconoscere una famiglia di malware, denominata Win32/FakeSecSen , che comprende numerosi antivirus fake : tra questi, MS Antivirus , Spyware Preventer , Vista Antivirus 2008 , Power Antivirus ed altri programmi con nomi ideati per confondere l’utente e indurlo a credere si tratti di veri software per la sicurezza .
Dietro a questi fake, affermano gli esperti, c’è una vera e propria rete criminale . I malware della famiglia Win32/FakeSecSen si fingono infatti degli scanner antivirus gratuiti e, una volta lanciati, visualizzano dei falsi messaggi d’avviso per far credere all’utente che il proprio sistema è infetto da uno o più malware: per ripulire il sistema, tali programmi maligni propongono all’utente di acquistare online – generalmente per 40 o 50 dollari – un fantomatico update del prodotto.
Per rendere la truffa ancor più convincente, certi fake utilizzano nomi, loghi e interfacce molto simili a quelli dei più noti prodotti per la sicurezza commerciali. Vista Antivirus 2008 clona ad esempio lo stile grafico del Centro di sicurezza PC di Windows Vista, inclusa la nota icona fatta a scudo.
Microsoft spiega che ciascuna installazione di FakeSecSen contiene generalmente un programma eseguibile (.exe), uno o due file DAT, una applet per il linkare il falso antivirus al Pannello di Controllo di Windows, una scorciatoia sul desktop e talvolta un finto uninstaller. Solo il 20% delle macchine su cui è stato eseguito MSRT contenevano ancora il file “.exe”: segno, secondo Microsoft, che questi sistemi erano già stati ripuliti con altri software per la sicurezza o manualmente dall’utente.
Secondo quanto riportato da PC World , il business dei falsi antivirus genera all’incirca 5 milioni di dollari all’anno : facendo due rapidi calcoli, ciò significa che ogni anno almeno 100mila utenti cadono nella trappola e sborsano quattrini per prodotti antivirus inesistenti.
Purtroppo questi fake rappresentano solo la punta dell’iceberg. Sempre secondo Microsoft, lo scorso giugno MSRT ha rilevato 1,2 milioni di malware ruba-password ; lo scorso febbraio quasi un milione di esemplari del cavallo di Troia Vundo; verso la fine dello scorso anno circa mezzo milione di esemplari del trojan Storm.
Una parte di queste minacce, spiega BigM, possono consentire ai cracker di controllare da remoto i PC compromessi . Un genere di attacco che spesso consente di trasformare i PC in nodi di reti botnet , ossia network di computer che in qualsiasi momento possono essere utilizzati per assalti di vario genere: da attacchi distribuiti di tipo DDoS contro server-target, all’invio di massicce quantità di email commerciali per conto di spammer senza scrupoli che le affittano.