PandaLabs informa sobre el falso antivirus VirusResponseLab2009 y el gusano P2PShared.M, así como sobre un nuevo ataque de pharming protagonizado por el troyano Banker.LKC, que modifica las direcciones web por las cuales navega el usuario. 01.10.2008, 18:59

El supuesto antivirus que en realidad es un Adware VirusResponseLab2009 es un ejemplo más del protagonismo que están tomando en el mundo del malware los falsos antivirus como forma de obtener beneficios económicos por parte de los delincuentes online.

Cuando se ejecuta, este software malicioso simula un análisis del sistema y hace creer al usuario que está infectado con un virus
(http :// www.flickr.com/photos/panda_security/2881336631/). Además, cada cierto tiempo hace saltar una ventana emergente de alertas, situada en la barra de tareas, que informa de falsos ataques desde Internet, o de la posibilidad de que el usuario sufra un ataque de robo de contraseñas (http :// www.flickr.com/photos/panda_security/2889552552/).

El objetivo de este código malicioso es que el usuario crea que realmente está infectado y compre la versión del antivirus que se le ofrece cada cierto tiempo (http :// www.flickr.com/photos/panda_security/2889552552/) para poder limpiar su ordenador de unas amenazas que, en realidad, no tiene.

P2PShared.M es un gusano que se propaga a través de redes P2P (peer to peer o punto a punto). Para ello, se copia en las carpetas pertenecientes a varios programas que hacen uso de estas redes, haciéndose pasar por diversos programas de software, con el fin de incitar a otros usuarios a su descarga.

Además, este gusano crea una copia de sí mismo en los ordenadores que infecta y realiza varias modificaciones en el Registro de Windows.
PandaLabs ha informado esta semana, además, de un troyano, Banker.LKC, que se hace pasar por un vídeo del iPhone para engañar a los usuarios y llevar a cabo un ataque de pharming que puede conllevar la pérdida de importantes datos confidenciales para las víctimas.

FUENTE

Dos falsos instaladores de aplicaciones peer to peer o P2P, BitRoll-5.0.0.0 y Torrent101-4.5.0.0, están siendo usados para instalar ejemplares del adware Lop en los ordenadores de los usuarios. Este tipo de programas se utilizan para intercambiar ficheros entre usuarios remotos, punto a punto. Ambos instaladores están disponibles para su descarga desde Internet, de modo que cualquier usuario puede acceder a ellos y quedar infectado.

Los ciberdelincuentes también están utilizando otras falsas aplicaciones, como un programa llamado wavesoftwarecreative.exe (y que se hace pasar por un software de sonido) u otro llamado bitdownloadsetup.exe para instalar este código malicioso.

El adware Lop está diseñado para mostrar publicidad de distintos anunciantes al usuario durante la navegación mediante ventanas emergentes, banners, etc. Además, cambia la página de inicio de Internet Explorer por la de un buscador propio. Si se realizan búsquedas en él, éste devolverá como resultado páginas de publicidad relacionadas con la palabra buscada.

Para dificultar su detección, este adware se conecta cada cierto tiempo a una página web desde la que descarga nuevos ficheros que contienen nuevas variantes de sí mismo, de modo que sea muy difícil eliminar todos los ficheros maliciosos activos en el sistema.

Si el usuario intenta utilizar el programa instalado, le permitirá realizar búsquedas de archivos, pero no descargarlos.

“En muchas ocasiones, la instalación del adware era “aprobada” por el usuario, ya que ésta se incluía en el acuerdo de licencia de distintos programas y el usuario, de manera inconsciente, la aceptaba durante el proceso de instalación del programa principal”, explica Luis Corrons, director técnico de PandaLabs, que añade” en este caso, sin embargo, en el acuerdo de licencia de los programas no se menciona en ningún momento la instalación del adware Lop”.

FUENTE

PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, ha detectado el envío de correos basura con el asunto: “Milan cannot afford Ronaldinho” (El Milán no puede pagar a Ronaldinho) que distribuyen el adware AntivirusXP2008.

El mail contiene un vínculo que, supuestamente, dirige a la noticia. Si el usuario pincha sobre ese link es redirigido a una página en la que un mensaje le anuncia que es necesario instalarse un Flash Player para poder ver el vídeo de la información. Si el usuario lo hace, estará introduciendo una copia de ese adware en su equipo (imagen aquí).

“Los ciberdelincuentes utilizan noticias falsas, fotos eróticas y otros temas para incitar a los usuarios a seguir vínculos y ejecutar archivos y que, de esta manera, terminen infectado. Esta técnica se conoce como ingeniería social”, explica Luis Corrons, director técnico de PandaLAbs, que añade: “últimamente estamos viendo como muchos códigos maliciosos son distribuidos de esta manera, utilizando temas poco usados hasta ahora, tales como éste, un supuesto accidente del piloto de fórmula 1 Fernando Alonso o un falso mail de UPS”

El adware AntivirusXP2008 es un falso antivirus. Una vez en el equipo lleva a cabo supuestos análisis del equipo, mostrando infecciones que en realidad no existen e incitando al usuario a comprar una versión de pago del producto para poder eliminar esas infecciones.

“Este tipo de códigos maliciosos tienen mucho sentido en el panorama actual del malware, en el que los ciberdelincuentes ya no buscan fama o notoriedad, sino obtener beneficios económicos de sus infecciones”, concluye Luis Corrons.

FUENTE

Metodologías de engaño que aprovechan determinadas circunstancias para infectar equipos, como la descarga de un simple fondo de pantalla, constituyen uno de los principales riesgos de seguridad que obligan a los usuarios a estar cada vez más atentos. Un ejemplo concreto es el siguiente:

Lo que apreciamos en la imagen no es ni más ni menos que una situación real de lo que nos podemos encontrar al navegar. Cuando intentamos descargar un wallpaper, nuestro antivirus nos advierte del potencial peligro. Quienes ejecuten esta aplicación instalaran un Adware.

Aunque este ejemplo muestra un caso particular, representa a nivel general una de las metodologías de engaño más utilizadas por este tipo de malware. Debemos estar atentos cada vez que realizamos descargas. Aunque los sitios sean confiables, siempre estamos expuestos a aplicaciones dañinas.

FUENTE

Quizás, una buena frase para complementar el slogan de este nuevo malware podría ser:

“Doctor… tengo un adware!!! ¿Qué hago?”
“Llame a… Doctor Adware ¡¡¡La nueva cura para la nueva enfermedad!!!”

Si bien en este caso pretendo darle un pequeño toque de humor al post, la verdad es que no es para nada gracioso ser víctima de este tipo de amenazas que, a pesar de prometer ser un producto infalible contra todo tipo de códigos maliciosos, la realidad es que no es más que otra estrategia de Ingeniería Social, que al ser ejecutada termina comprometiendo la computadora de quien cree en la mentira.

Paradójicamente, esta “nueva cura” termina siendo peor que “la nueva enfermedad” que, de hecho, no es para nada nueva si tenemos en cuenta que el adware convive entre nosotros desde hace mucho tiempo.

A través de una colorida web pretende engañar a los usuarios haciéndoles creer que se trata de un flamante nuevo programa de seguridad antimalware, cuando en realidad se trata de un adware que ESET NOD32 detecta bajo el nombre de Win32/Doctor.AdwarePro.

FUENTE

Para cualquiera de nosotros, en donde el estar informado y atento a nuevos vectores de ataques es una prioridad, es normal ingresar a sitios que son actualizados cada segundo. Por ello Technorati es una constante en nuestros sitios favoritos.

Quien podría pensar que este importante sitio puede ser utilizado para propagar el anuncio de una gran plaga como es Hotbar. Bueno, quizás habría que pensar de nuevo.

Pero, ¿cómo logran esto los autores de Hotbar (o de cualquier otra adware/spyware) hacer esto?A través servicios de publicidad online tercerizados como DoubleClick, CPX, Accelerator-Media y tantos otros.

1. Los autores de “servicios agregados” (generalmente adware) pagan a estas empresas de publicidad para que sus banners aparezcan en diversos sitios web.
2. Por su lado, cualquier sitio (como Technorati en este caso), adquieren el servicio de banners de esas empresas de publicidad online.
3. El banner fraudulento aparece en el sitio aleatoriamente cada cierto tiempo.
4. El usuario, confiando en el sitio, puede hacer clic en ese banner y ser redirigido a la instalación del adware, como en este caso a Hotbar.

Se puede ver un análisis completo de este malware en nuestro informe sobre Hotbar.

Actualmente cualquier sitio puede ser utilizado para para fines maliciosos y si este sitio es muy popular mejor aún, como ya hemos demostrado también en el caso de las propagaciones en foros.

FUENTE

El término adware, se remite generalmente a publicidades o anuncios en diversos programas, freeware o shareware, a modo de recompensa para el creador del mismo.

Con diferencia al spyware, el adware, requiere el consentimiento del usuario para instalarse y no envía información a terceros sin previo aviso.

A los equipos con mucho adware instalado, se los denomina popup factory, en español fábrica de popups, debido a que muchos de estos programas abren constantemente ventanas del navegador, ralentizando el sistema.

Existen muchos programas específicos para remover adware y spyware y otras como las soluciones de ESET que eliminan aparte de las anteriormente mencionadas, todo tipo de código malicioso.

Existe una gran controversia y una brecha muy corta en cuanto al momento en que un adware deja de serlo y comienza a ser denominado spyware; es decir, comienza a obtener información del usuario sin consentimiento.

Un ejemplo claro es la famosa barra llamada Hotbar de la cual vemos un ejemplo a continuación:

En ESET ya hemos estudiando en profundidad a Hotbar. A continuación, también podemos ver un ejemplo de adware en un software muy conocido:

Como se puede apreciar, la publicidad es mostrada constantemente mientras descargamos archivos y utilizamos el programa.

FUENTE