Ogni giorno arrivano segnalazioni di programmi antivirus fraudolenti che circolano online e negli app store. Sono stati analizzati due casi sospetti: TOTAL AV e SCANGUARD.

Metodologia di Test

I test sono stati condotti su macchine virtuali con Windows 7 e Windows 10 con installazioni pulite. Entrambe le versioni gratuite sono state installate dai siti ufficiali.

Risultati Chiave

Interfacce identiche: Le interfacce grafiche erano quasi identiche tra i due programmi.

Screenshot 6

Screenshot 7

Requisiti di attivazione: Entrambi richiedevano l’attivazione a pagamento per funzionare. Le versioni gratuite eseguivano solo scansione/diagnosi senza rimozione dei virus.

Screenshot 1

Screenshot 2

Screenshot 4

Screenshot 5

Assenza notevole: Nessuno dei due offriva opzioni di pagamento PayPal — solo elaborazione con carta di credito.

Elementi Sospetti

Supporto identico: Entrambi i sistemi rispondevano tramite un autoresponder chiamato “DEAN” con linguaggio persuasivo.

Screenshot 110

Screenshot 111

Indagine sull’avatar: Lo stesso avatar “DEAN” appariva su più siti web con vari commenti e recensioni.

Analisi dei Domini

  • Registrazione WHOIS privata: La proprietà del dominio era nascosta, in contrasto con fornitori legittimi come Sophos o Trend Micro
  • Infrastruttura di terze parti: La registrazione utilizzava sistemi CRM FORTIFI.IO e SENDGRID per le email senza indirizzi IP propri
  • Storia del dominio: totalav.com era registrato a un’azienda audio-video indiana nel 2004, è scaduto, è stato tenuto da rivenditori di domini fino al 2016 quando è apparso Total AV

Incoerenze nella Rilevazione

Quando testati con vari campioni di malware, entrambi i programmi mostravano tassi di rilevamento incoerenti tra le versioni Windows 7 e Windows 10. I prompt di pagamento apparivano ripetutamente ad ogni rilevamento.

Identificazione dell’Azienda

La ricerca ha rivelato SSPROTECT LTD, un’azienda britannica che gestisce tre prodotti identici: Total AV, Scanguard e PC Protect. L’azienda è elencata come partner Microsoft attraverso www.protected.net ma mantiene una bassa reputazione web.

Conclusione

Ci si chiede perché esistano tre programmi antivirus identici e si raccomanda vivamente di non installarli: “Io direi di NO!”