ltd.exe, "Vista Antivirus Security 2012", qualsiasi informazione?

Naviga le tue risposte
3

Stavo dando un'occhiata al computer di qualcuno che aveva un virus. Si chiamava "Visa Antivirus Security 2012". Si è rivelato ltd.exe. Sembrerebbe che blocchi casualmente i programmi, si scopre che ha infettato l'opzione "apri con" per i file exe. Rinominare l'exe e ripristinare i riferimenti open-with che contenevano ltd.exe ha risolto il problema.

Ho controllato i log di download del browser (Firefox) per vedere se c'era un exe lì. Ma nessun ex nel registro tranne l'altro antivirus (Avira) che è stato intenzionalmente installato molto tempo fa.

Questa data di modifica ltd.exe è la data del primo avvio di questo computer oggi, essendo il primo giorno dell'anno. Ci sono informazioni su altre occorrenze di questo ltd.exe, qual è il suo titolo ufficiale, come è distribuito ?

Considerando ciò che l'utente ha installato e che si tratta di un utente attento, un po 'esperto di computer, penso che la causa più probabile sia una recente vulnerabilità in Java, che porta alcuni virus programmati per il 2012. Ma mi piacerebbe sapere.

L'utente pulirà il disco rigido.

    
posta George Bailey 01.01.2012 - 23:53
fonte

2 risposte

3

Vista Antivirus Security 2012 è solo un altro nome per un programma di sicurezza canaglia comune che cambia nome che altera il suo nome e la GUI a seconda del sistema operativo su cui è in esecuzione. Ad esempio, XP Security 2012 , Vista Security 2012 e Win 7 Security 2012 vengono utilizzati rispettivamente su Windows XP, Windows Vista e Windows 7 (questo non è un elenco completo.)

Tutti i nomi usati da questa canaglia menzionano "2012" anche se (ovviamente) la maggior parte delle infezioni fino ad oggi sono state nel 2011.

I due principali vettori di infezione sono: tramite false pagine di "scanner" online che dichiarano di aver riscontrato seri problemi sul computer della vittima e li inducono a scaricare e installare una correzione; e, tramite siti Web legittimi compromessi che sfruttano vulnerabilità nei plugin del browser o nel browser stesso per scaricare e installare silenziosamente il ladro.

    
risposta data 02.01.2012 - 05:21
fonte
3

È impossibile dire con certezza in che modo è stata distribuita questa infezione. Il rogue-AV landscape è un mercato complesso di gruppi affiliati; è probabile che il processo di infezione sia stato intrapreso da una parte diversa del team dietro Vista Antrivirus Security stessa. Ogni affiliato pay-per-install può utilizzare diverse tattiche.

Ma sì, gli exploit dei plugin (contro Java e Acrobat in particolare) sono stati il vettore di download drive-by-popolare più popolare negli ultimi anni, quindi Java è una buona ipotesi. Gli altri comuni metodi di infezione sono la semplice riproduzione di trojan ("per visualizzare questa pagina, installare questo codec ..." et al) e l'avvelenamento P2P ma se si ha un utente cauto che sarebbe meno probabile.

Il passaggio attraverso i registri di about:cache potrebbe rivelare qualcosa.

    
risposta data 02.01.2012 - 00:14
fonte

Leggi altre domande sui tag

Esiste un modo per utilizzare più firewall / antivirus per i test di penetrazione? Imposta e registra il traffico in uscita da una botnet in un ambiente sandbox / sicuro