Close Menu
TrybAwaryjny.pl
    Najpopularniejsze
    Czy jest sposób na wyzerowanie Windowsa

    Jak sformatować/przywrócić Windows 10?

    23 marca 2016
    Nowy konkurs AVG - weź udział teraz

    Wybierz imię dla ludka-ninja! Wiosenny konkurs AVG!

    22 maja 2015
    Nowy konkurs AVG

    Pomóż nam wybrać koszulkę dla Trybu i zgarnij NOWE gadżety AVG!

    11 września 2015
    Facebook YouTube
    TrybAwaryjny.plTrybAwaryjny.pl
    • Strona główna
    • Tu zacznij
    • Kategorie
      • Dla domu
      • Dla firmy
      • Dla szkoły
      • Polecane
      • Praca
      • Komputer
      • Mobilne
      • Aplikacje online
      • Technologia
      • Cyberbezpieczeństwo
      • Hosting
      • Ciekawostki
      • Bezpieczne dzieci
      • Promocje i okazje
    • Rankingi i opinie
    • Cyberbezpieczeństwo
      • Antywirusy
        • Produkty Norton
        • Produkty Avast
        • Produkty AVG
      • Artykuły
        • Wszystkie
        • Norton
        • Avast
        • AVG
        • CCleaner
      • Informacje prasowe
      • Forum
      • Współpraca
    • Kontakt i współpraca
    Facebook YouTube
    TrybAwaryjny.pl
    Home»Cyberbezpieczeństwo»Antywirusy»AVG»Fałszywe GG10 to dopiero początek!
    AVG

    Fałszywe GG10 to dopiero początek!

    1 kwietnia 20104 komentarze4 Mins ReadUpdated:24 sierpnia 2023

     

    Opisany wczoraj przypadek namierzonego przeze mnie fałszywego instalatora Gadu Gadu 10, o którym szerzej w tym wpisie na blogu okazał się dopiero początkiem większego przekrętu wykraczającego poza Polskę.

    Przeprowadziłem analizę adresów IP i domen, dzięki której, odnalezionych zostało jeszcze kilkanaście stron internetowych ze spreparowanymi aplikacjami.

    Idąc tropem oszustwa zacząłem śledzić adresy IP.

    O ile nie udało mi się odnaleźć do tej pory strony źródłowej, z której fałszywe GG pochodzi to znalazłem wiele innych przypadków tego samego oszustwa.

    Wyłudzenia dotyczą MS Internet Explorer8, Media Playera, OpenOffice, przeglądarek Firefox, Opera, Chrome, Safari, aplikacji WinRAR, międzynarodowych komunikatorów internetowych jak MSN, Skype, ICQ, Yahoo Messenger czy nawet gry sieciowej CounterStrike – te dotyczą zagranicznej próby oszustwa

    Nas dotknęła próba wyłudzania pieniędzy z użyciem tego samego numeru premium 7668 na zakup licencji oprogramowania antywirusowego.

    Fałszywe wersje to między innymi Kaspersky 9.0, Norton 2010, MS Security Essentials, Avira 9, Avast 4.8, ClamAV czy nawet nasze AVG 9.0.

    Cała procedura instalacji wygląda identycznie jak w przypadku wspomnianego wcześniej fałszywego GG, zmieniła się tylko treść SMSa jaką trzeba wysłać – zamiast MSG tym razem AVA.

    Instalatory antywirusów

    Powyżej widać dokładnie, że cały pakiet instalatora jest wciąż ten sam, zmienia się tylko tytuł okna i grafika widoczna w kreatorze instalacji.

    Program działa dokładnie tak samo jak opisałem w temacie fałszywego Gadu Gadu 10 – dwa smsy za 7,32zł brutto dają kod do instalacji programu. Podrobiony instalator po podaniu poprawnego, sprawdzanego online kodu, uruchamia prawdziwy instalator wybranego programu zawarty w spreparowanym pakiecie instalacyjnym. Jak wcześniej wraz z programem instaluje się ten sam updater.exe będący zainfekowany trojanem Downloader.Generic.BLSS.

    Oszuści starali się bardzo wiarygodnie przygotowywać swoje pliki i na przykład zachowana jest oryginalna forma nazewnictwa pakietów instalacyjnych:

    Pierwszym niedociągnięciem jest zachowanie domyślnych ikon archiwum samorozpakowującego WinRAR zamiast zastosowania wiarygodnych ikon konkretnych aplikacji.

    Drugi problem to brak podpisów cyfrowych aplikacji potwierdzających ich wiarygodność:

    Poniżej jeszcze jeden zrzut ekranu z widokiem kilku innych aplikacji, które padły ofiarami oszustów:

    Inne instalatory

    Jak szukałem?

    Pierwszą drogą był adres IP, na którym GG10 potwierdzało poprawność kodu otrzymanego SMSem. Dalej używając narzędzi sieciowych oraz do zarządzania domenami trafiłem na adresy powiązane.

    Jeden z tych adresów prowadził do strony w języku polskim oferującej oprogramowanie antywirusowe:

    //www.antywirusowy-pl.com

    Na pierwszy rzut oka strona wygląda bardzo nieczytelnie, a to za sprawą błędu w ustawieniu kodowania znaków przez oszustów:

    <html xmlns="//www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
    

    Po ustawieniu w przeglądarce kodowania UTF-8 strona będzie wyglądała poprawnie.

    Problem kodowania znaków wystąpił tylko na przeglądarce Mozilli Firefox 3.6.2, w pozostałych przeglądarkach stronie nie budzi zastrzeżeń już od pierwszego wejścia na stronę.

    Kodowanie znaków w przeglądarkach

    Na fałszywej stronie możemy poczytać porównanie programów, opinie, poznać zalety i wady programów, a na koniec pobrać sobie instalator wersji testowej, które widać na zrzucie ekranu wyżej.

    O ile Polska strona na temat antywirusów wygląda przeciętnie i ma problemy z kodowaniem znaków to kolejne strony wyglądają już naprawdę nieźle i rzec można, że wiarygodnie ale o nich za chwilę.

    Skoro znalazłem polską stronę z oszustwem to z użyciem polecenia nslookup zdobyłem kolejny adres IP – 195.78.228.156. Wykorzystując technikę Reverse IP domain lookup odnalazłem kolejne domeny odwołujące się do serwera pod tym samym adresem i tym sposobem trafiłem na następującą listę stron z fałszywym oprogramowaniem:

    Pórwnanie Bezplatnych Programów Antywirusowych (PL – Antywirusy)

    Messengers (komunikatory)

    Download WinRAR (WinRAR)

    Télécharger Windows Media Player 11 (Media Player 11)

    Windows Internet Explorer 8 (ESP)

    Windows Internet Explorer 8 (EN)

    MSN Messenger – Telecharger Windows Live Messenger 2009 – Windows Live (komunikator MSN)

    OpenOffice Gratuit (OpenOffice)

    AntiVirus Gratis Comparativa (Antywirusy po hiszpańsku)

    Counter-Strike 1.6

    Comparatif navigateurs (przeglądarki)

    Żadna z powyższych stron nie zawiera prawdziwego oprogramowania!

    Wszystkie strony są zarejestrowane przez rejestratora domen z Chile. Na te same dane zarejestrowane jest aktualnie 135 aktywnych domen! Wynika z tego, że oszustwo ma ogromną skalę. Do jednego adresu IP podłączonych jest 19 witryn – doszukując się głębiej kolejnych adresów IP powinniśmy być w stanie ustalić kompletną listę oszukańczych witryn z aplikacjami. Serwery na jakich znajdują się strony internetowe korzystają z adresów IP zarejestrowanych w Hiszpanii.

    Nie potrafię ocenić ile osób mogło paść ofiarą strony z fałszywymi antywirusami. Mogę natomiast powiedzieć, że do tej pory zgłoszone zosały dwa przypadki instalacji AVG z użyciem fałszywego instalatora.

     

    „Libela Gestion Sms”

    ___

    Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. AVG PC TuneUP – program do czyszczenia komputera. Uporządkuj pliki i pozbądź się zalegających śmieci na Twoim komputerze.
    antywirus avg logo

     

    Oceń artykuł
    [Głosów: 0 Średnia: 0]
    Previous ArticleUwaga na fałszywe Gadu Gadu 10!
    Next Article AVG w raporcie o bezpieczeństwie w sieci
    Subskrybuj
    Powiadom o
    guest
    guest
    4 komentarzy
    Najstarsze
    Najnowsze Najwięcej głosów
    Opinie w linii
    Zobacz wszystkie komentarze
    Rafał
    Rafał
    15 lata temu

    Sam kiedyś pobrałem taki instalator. (4-6 miesięcy temu) Zgłaszałem reklamy z wyszukiwarki Google na ich stronie do zgłaszania nieuczciwych reklam, ale nic z tego nie wynikło. Z tego co widzę proceder dalej kwitnie.

    0
    Odpowiedz
    Mark
    Mark
    15 lata temu

    Polecam zgłosić raporty do Kaspersky, NOD, Norton – firmy zajmują większość rynku rozwiązań AV dodanie serwerów na blacklisty będzie odczuwalne, dodatkowo pliki trafiają do bazy virusów.

    Sprawdzone, moje zgłoszenia jak dotychczas były uwzględnione w aktualizacjach sygnatur w ciągu max 48 godzin.

    0
    Odpowiedz
    trackback
    Uwaga na międzynarodowe oszustwo! | Blog IT - ittechblog.pl
    15 lata temu

    […] [ź] techblog.avg.pl […]

    0
    Odpowiedz
    kasy fiskalne
    kasy fiskalne
    14 lata temu

    Trzeba zainteresować sprawą producentów

    0
    Odpowiedz
    Rafał
    Rafał
    6 lata temu

    Sam kiedyś pobrałem taki instalator. (4-6 miesięcy temu) Zgłaszałem reklamy z wyszukiwarki Google na ich stronie do zgłaszania nieuczciwych reklam, ale nic z tego nie wynikło. Z tego co widzę proceder dalej kwitnie.

    0
    Odpowiedz
    Mark
    Mark
    6 lata temu

    Polecam zgłosić raporty do Kaspersky, NOD, Norton – firmy zajmują większość rynku rozwiązań AV dodanie serwerów na blacklisty będzie odczuwalne, dodatkowo pliki trafiają do bazy virusów.Sprawdzone, moje zgłoszenia jak dotychczas były uwzględnione w aktualizacjach sygnatur w ciągu max 48 godzin.

    0
    Odpowiedz
    Najnowsze komentarze
    • Piotr Szóste miejsce dla empiku to jakieś nieporozumienie!Kiedyś lubiłem empik, ale to co te...Najlepsze księgarnie internetowe [ranking]
    • Arkadiusz Zakrzewski Cześć,Niestety w tym przypadku my, firma CORE nic nie możemy zrobić, to subskrypcje bezp...Jak zwrócić program AVAST zamówiony na stronie avast.com?
    • Agnieszka Witam Pobrało mi pieniądze za subskrypcję. Na koncie avast w zakładce subskrypcje nie ma...Jak zwrócić program AVAST zamówiony na stronie avast.com?
    • Czy dieta przez aplikację działa? Testuję Respo - WebInside.pl […] rozpoczęłam na początku kwietnia. Rankingów aplikacji online jest całkiem sporo...5 najpopularniejszych aplikacji dietetycznych – którą wybrać?
    • Arkadiusz Zakrzewski Dzień dobry,My, czyli firma CORE nie sprzedajemy żadnych subskrypcji. Jeśli zapłacił Pan...Jak zwrócić program AVAST zamówiony na stronie avast.com?
    Włącz cyberbezpieczeństwo
    Norton - Wielopoziomowa Ochrona Urządzeń dla firm
    Skuteczny Antywirus
    Encyklopedia Bezpieczeństwa AVG
    O nas

    TrybAwaryjny.pl tworzony jest przez doświadczonych ekspertów i pasjonatów. Porusza tematy około technologiczne, IT oraz cyfrowe. Tworzymy autorskie i darmowe artykuły, porady dla domu i firm, rankingi a także regularnie odpowiadamy na wszystkie pytania naszych czytelników. Jeśli masz problem z komputerem, tabletem czy telefonem lub chciałbyś zapytać o dowolny aspekt związany z siecią, nasi specjaliści udzielą Ci konkretnych odpowiedzi.

     

    Cyberbezpieczeństwo

    Pomagamy zrozumieć zagrożenia w Internecie oraz tłumaczymy jak bezpiecznie korzystać z telefonu, tabletu i komputera. Szeroko opisujemy cyberzagrożenia, na które są narażeni użytkownicy i wyjaśniamy jak skutecznie się przed nimi bronić. Posiadamy dedykowany dział, w którym poruszamy bezpieczeństwo dzieci oraz oferujemy rozwiązania antywirusowe dla domu, firm, szkół i placówek państwowych.

    Znajdź nas na FB
    Facebook YouTube
    • Polityka prywatności
    • Regulamin
    © 2025 Trybawaryjny.pl

    Type above and press Enter to search. Press Esc to cancel.

    wpDiscuz