Najpopularniejsze
    Czy jest sposób na wyzerowanie Windowsa

    Jak sformatować/przywrócić Windows 10?

    Nowy konkurs AVG - weź udział teraz

    Wybierz imię dla ludka-ninja! Wiosenny konkurs AVG!

    Nowy konkurs AVG

    Pomóż nam wybrać koszulkę dla Trybu i zgarnij NOWE gadżety AVG!

    Facebook YouTube
    TrybAwaryjny.plTrybAwaryjny.pl
    • Strona główna
    • Tu zacznij
    • Porady
      • Dla domu
      • Dla firmy
      • Dla szkoły
      • Android
      • Windows
      • Przydatne programy
        • Komputer
        • Mobilne
    • Ciekawostki
    • AVG
      • Strona AVG w Polsce
      • AVG krok po kroku
      • Blog AVG
      • Informacje prasowe
      • Napisali o AVG
      • Promocje
      • Programy
        • Dla domu
        • Dla małej firmy
        • Dla biznesu
      • Forum
    • AVAST
    • Kontakt i współpraca
    Facebook YouTube
    TrybAwaryjny.plTrybAwaryjny.pl
    Strona główna»AVG»Blog AVG»Fałszywe GG10 to dopiero początek!
    Blog AVG

    Fałszywe GG10 to dopiero początek!

    4 komentarzePrzeczytasz w 4 minuty

     

    Opisany wczoraj przypadek namierzonego przeze mnie fałszywego instalatora Gadu Gadu 10, o którym szerzej w tym wpisie na blogu okazał się dopiero początkiem większego przekrętu wykraczającego poza Polskę.

    Przeprowadziłem analizę adresów IP i domen, dzięki której, odnalezionych zostało jeszcze kilkanaście stron internetowych ze spreparowanymi aplikacjami.

    Idąc tropem oszustwa zacząłem śledzić adresy IP.

    O ile nie udało mi się odnaleźć do tej pory strony źródłowej, z której fałszywe GG pochodzi to znalazłem wiele innych przypadków tego samego oszustwa.

    Wyłudzenia dotyczą MS Internet Explorer8, Media Playera, OpenOffice, przeglądarek Firefox, Opera, Chrome, Safari, aplikacji WinRAR, międzynarodowych komunikatorów internetowych jak MSN, Skype, ICQ, Yahoo Messenger czy nawet gry sieciowej CounterStrike – te dotyczą zagranicznej próby oszustwa

    Nas dotknęła próba wyłudzania pieniędzy z użyciem tego samego numeru premium 7668 na zakup licencji oprogramowania antywirusowego.

    Fałszywe wersje to między innymi Kaspersky 9.0, Norton 2010, MS Security Essentials, Avira 9, Avast 4.8, ClamAV czy nawet nasze AVG 9.0.

    Cała procedura instalacji wygląda identycznie jak w przypadku wspomnianego wcześniej fałszywego GG, zmieniła się tylko treść SMSa jaką trzeba wysłać – zamiast MSG tym razem AVA.

    Instalatory antywirusów

    Powyżej widać dokładnie, że cały pakiet instalatora jest wciąż ten sam, zmienia się tylko tytuł okna i grafika widoczna w kreatorze instalacji.

    Program działa dokładnie tak samo jak opisałem w temacie fałszywego Gadu Gadu 10 – dwa smsy za 7,32zł brutto dają kod do instalacji programu. Podrobiony instalator po podaniu poprawnego, sprawdzanego online kodu, uruchamia prawdziwy instalator wybranego programu zawarty w spreparowanym pakiecie instalacyjnym. Jak wcześniej wraz z programem instaluje się ten sam updater.exe będący zainfekowany trojanem Downloader.Generic.BLSS.

    Oszuści starali się bardzo wiarygodnie przygotowywać swoje pliki i na przykład zachowana jest oryginalna forma nazewnictwa pakietów instalacyjnych:

    Pierwszym niedociągnięciem jest zachowanie domyślnych ikon archiwum samorozpakowującego WinRAR zamiast zastosowania wiarygodnych ikon konkretnych aplikacji.

    Drugi problem to brak podpisów cyfrowych aplikacji potwierdzających ich wiarygodność:

    Poniżej jeszcze jeden zrzut ekranu z widokiem kilku innych aplikacji, które padły ofiarami oszustów:

    Inne instalatory

    Jak szukałem?

    Pierwszą drogą był adres IP, na którym GG10 potwierdzało poprawność kodu otrzymanego SMSem. Dalej używając narzędzi sieciowych oraz do zarządzania domenami trafiłem na adresy powiązane.

    Jeden z tych adresów prowadził do strony w języku polskim oferującej oprogramowanie antywirusowe:

    //www.antywirusowy-pl.com

    Na pierwszy rzut oka strona wygląda bardzo nieczytelnie, a to za sprawą błędu w ustawieniu kodowania znaków przez oszustów:

    <html xmlns="//www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
    

    Po ustawieniu w przeglądarce kodowania UTF-8 strona będzie wyglądała poprawnie.

    Problem kodowania znaków wystąpił tylko na przeglądarce Mozilli Firefox 3.6.2, w pozostałych przeglądarkach stronie nie budzi zastrzeżeń już od pierwszego wejścia na stronę.

    Kodowanie znaków w przeglądarkach

    Na fałszywej stronie możemy poczytać porównanie programów, opinie, poznać zalety i wady programów, a na koniec pobrać sobie instalator wersji testowej, które widać na zrzucie ekranu wyżej.

    O ile Polska strona na temat antywirusów wygląda przeciętnie i ma problemy z kodowaniem znaków to kolejne strony wyglądają już naprawdę nieźle i rzec można, że wiarygodnie ale o nich za chwilę.

    Skoro znalazłem polską stronę z oszustwem to z użyciem polecenia nslookup zdobyłem kolejny adres IP – 195.78.228.156. Wykorzystując technikę Reverse IP domain lookup odnalazłem kolejne domeny odwołujące się do serwera pod tym samym adresem i tym sposobem trafiłem na następującą listę stron z fałszywym oprogramowaniem:

    Pórwnanie Bezplatnych Programów Antywirusowych (PL – Antywirusy)

    Messengers (komunikatory)

    Download WinRAR (WinRAR)

    Télécharger Windows Media Player 11 (Media Player 11)

    Windows Internet Explorer 8 (ESP)

    Windows Internet Explorer 8 (EN)

    MSN Messenger – Telecharger Windows Live Messenger 2009 – Windows Live (komunikator MSN)

    OpenOffice Gratuit (OpenOffice)

    AntiVirus Gratis Comparativa (Antywirusy po hiszpańsku)

    Counter-Strike 1.6

    Comparatif navigateurs (przeglądarki)

    Żadna z powyższych stron nie zawiera prawdziwego oprogramowania!

    Wszystkie strony są zarejestrowane przez rejestratora domen z Chile. Na te same dane zarejestrowane jest aktualnie 135 aktywnych domen! Wynika z tego, że oszustwo ma ogromną skalę. Do jednego adresu IP podłączonych jest 19 witryn – doszukując się głębiej kolejnych adresów IP powinniśmy być w stanie ustalić kompletną listę oszukańczych witryn z aplikacjami. Serwery na jakich znajdują się strony internetowe korzystają z adresów IP zarejestrowanych w Hiszpanii.

    Nie potrafię ocenić ile osób mogło paść ofiarą strony z fałszywymi antywirusami. Mogę natomiast powiedzieć, że do tej pory zgłoszone zosały dwa przypadki instalacji AVG z użyciem fałszywego instalatora.

     

    „Libela Gestion Sms”

    ___

    Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. AVG PC TuneUP – program do czyszczenia komputera. Uporządkuj pliki i pozbądź się zalegających śmieci na Twoim komputerze.
    antywirus avg logo

     

    Oceń artykuł
    [Głosów: 0 Średnia: 0]

    Podobał Ci się ten artykuł?

    Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

    Prowadzisz małą lub średnią firmę?

    Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

    Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

    Pobierz e-book teraz!

    Encyklopedia Bezpieczeństwa

    Odbierz darmowe porady od AVG
    Phishing
    Udostępnij. Facebook Twitter Pinterest LinkedIn Tumblr Email
    Arkadiusz Zakrzewski

      Specjalista pomocy technicznej AVG, IT Wizard, zapalony gracz, fan komiksu, literatury fantasy i muzyki metalowej.

      Subscribe
      Powiadom o
      guest
      guest
      4 komentarzy
      najstarszy
      najnowszy oceniany
      Inline Feedbacks
      View all comments
      Rafał
      Rafał
      12 lat temu

      Sam kiedyś pobrałem taki instalator. (4-6 miesięcy temu) Zgłaszałem reklamy z wyszukiwarki Google na ich stronie do zgłaszania nieuczciwych reklam, ale nic z tego nie wynikło. Z tego co widzę proceder dalej kwitnie.

      0
      Odpowiedz
      Mark
      Mark
      12 lat temu

      Polecam zgłosić raporty do Kaspersky, NOD, Norton – firmy zajmują większość rynku rozwiązań AV dodanie serwerów na blacklisty będzie odczuwalne, dodatkowo pliki trafiają do bazy virusów.

      Sprawdzone, moje zgłoszenia jak dotychczas były uwzględnione w aktualizacjach sygnatur w ciągu max 48 godzin.

      0
      Odpowiedz
      trackback
      Uwaga na międzynarodowe oszustwo! | Blog IT - ittechblog.pl
      12 lat temu

      […] [ź] techblog.avg.pl […]

      0
      Odpowiedz
      kasy fiskalne
      kasy fiskalne
      12 lat temu

      Trzeba zainteresować sprawą producentów

      0
      Odpowiedz
      Rafał
      Rafał
      4 lat temu

      Sam kiedyś pobrałem taki instalator. (4-6 miesięcy temu) Zgłaszałem reklamy z wyszukiwarki Google na ich stronie do zgłaszania nieuczciwych reklam, ale nic z tego nie wynikło. Z tego co widzę proceder dalej kwitnie.

      0
      Odpowiedz
      Mark
      Mark
      4 lat temu

      Polecam zgłosić raporty do Kaspersky, NOD, Norton – firmy zajmują większość rynku rozwiązań AV dodanie serwerów na blacklisty będzie odczuwalne, dodatkowo pliki trafiają do bazy virusów.Sprawdzone, moje zgłoszenia jak dotychczas były uwzględnione w aktualizacjach sygnatur w ciągu max 48 godzin.

      0
      Odpowiedz
      Najnowsze komentarze
      • Patryk Dropbox jest świetny. Fajnie zintegrowany z wieloma aplikacjami, wygodny, wiele użytecznyc...Dropbox – dysk w chmurze
      • Wiktoro Dobre zasilacze awaryjne UPS ma w ofercie marka armacJaki zasilacz UPS do firmy wybrać?
      • Arkadiusz Zakrzewski Cześć, Skontaktuj się z biuro@avg.pl podaj dane subskrypcji (numer zamówienia oraz nr refe...Pomoc techniczna dla użytkowników darmowych wersji antywirusów – AVG FREE i AVAST FREE
      • Robert Zainstalowałem i opłaciłem subskrypcję produktu avg TuneUp i teraz mam problem z anulowan...Pomoc techniczna dla użytkowników darmowych wersji antywirusów – AVG FREE i AVAST FREE
      • Asia Świetny artykuł, ale warto go trochę zaktualizować, bo powstało sporo ciekawych stron z ra...Aplikacja z promocjami – którą wybrać?
      Skuteczny Antywirus
      O nas

      TrybAwaryjny.pl to strona stworzona specjalnie dla użytkowników antywirusa AVG. Oprócz szeregu porad i artykułów dotyczących bezpieczeństwa, znajdziecie tutaj wszystko to co jest związane z programami AVG w Polsce. Możecie również zadać pytania dotyczące bezpieczeństwa komputerów ekspertom pomocy technicznej AVG.

      Znajdź nas na FB
      Facebook YouTube
      • Polityka prywatności
      • Regulamin
      © 2023 Trybawaryjny.pl

      Wypełnił powyższe pole i naciśnij Enter żeby wyszukać. Naciśnij Esc żeby anulować.

      wpDiscuz