Ahora, los piratas informáticos se están sirviendo también de la tragedia del vuelo 447 de Air France, desaparecido hace una semana, para deslizar sus ataques.

Ayer, la compañía de seguridad informática Trend Micro informó que se detectaron engaños informáticos que utilizan el accidente del AF 447 como anzuelo para atrapar a sus víctimas. ¿Cómo funciona?

El lector estará al tanto del blooper que desde la semana pasada sufre Microsoft: al usar la palabra ladrones en la versión argentina del nuevo buscador de la compañía, llamado Bing ( www.bing.com ), el sitio lista en primer lugar la página de inicio de la Casa Rosada ( www.casarosada.gov.ar ).

Esta clase de maniobra se basa en las técnicas de optimización de los motores de búsqueda o SEO (por sus siglas en inglés). El envenenamiento de SEO permite elevar artificialmente la posición de un sitio cuando se usan palabras o frases específicas en los buscadores.
Estafas y ataques

Así como se explota esta técnica con ánimo de burla o para operaciones políticas, los piratas pueden aprovecharla para estafar o atacar al usuario.

Así, elevan el ranking de sitios diseñados para infiltrar virus cuando el usuario busca información sobre el vuelo AF 447.

“Los resultados arrojados por las búsquedas sobre la tragedia del vuelo 447 de Air France muestran vínculos que, una vez abiertos, envían al usuario a varios sitios que, a su vez, llevan a descargar software antivirus falso”, explica Maximiliano Cittadini, t eam leader de Servicios de la compañía.

Si el usuario acepta el peligroso convite, obtiene un instalador que parece normal, pero que, en realidad, está cargado de artillería malintencionada. Su nombre es Install_2022.exe, y Trend Micro ha identificado en su interior el troyano Troj_FakeAV.bim . Si se lo ejecuta, como es posible que hagan muchos usuarios inadvertidos, el virus se conecta con una dirección de Internet de la que descarga un archivo consignado como Troj_Yektel.AA que, al ejecutarse, muestra los cuadros de diálogo para instalar un antivirus llamado Personal Antivirus.

Se trata de un software falso. Si la persona sigue adelante, termina encontrándose con que su PC está llena de infecciones. Estas son advertencias falsas, cuya única finalidad es la de inducir al asustado usuario a comprar una copia completa del antivirus que, por supuesto, tiene un costo.

El ataque es particularmente avieso, porque los sitios originales que aparecen en las búsquedas muestran información real sobre el vuelo 447 de Air France.

“Pero, a la vez, advierten a quien los visita acerca de una posible infección de virus en su equipo, que pone en riesgo la integridad del sistema”, describe Cittadini.
Escurridizos

Esta advertencia es, desde luego, el primer eslabón en una cadena de engaños. El ejecutivo agrega que, según sus propias observaciones sobre la evolución del ataque, desde el informe de Trend Micro al cierre de esta edición, el nombre del instalador ya había cambiado, lo que indicaría una nueva variante del mismo malware ; tal es el nombre que genéricamente se le asigna a todo software diseñado para causar daño, estafar o robar datos.

“Desde que se comunicó la situación en el blog de Trend Micro [http://blog.trendmicro.com], los motores de búsqueda han limpiado bastante los resultados”, dice Cittadini para explicar por qué hacia la tarde de ayer la aparición de estos sitios engañosos se habían reducido notablemente.

Sin embargo, nuevos intentos de aprovechar el interés del público por el destino del vuelo 447 podrían detectarse en los próximos días, después de este antecedente.

FUENTE

Al terminar de instalarse en el sistema, puede verse que ofrece al usuario las siguiente herramientas, además de las clásicas opciones falsas para explorar el sistema:

Si se observa con cuidado podemos llegar a la siguiente conclusión: todas ellas son herramientas que se encuentran disponibles en el sistema operativo por defecto, sin siquiera instalarlas, y por supuesto en forma gratuita:

* Performance Monitor: es el monitor de rendimiento incorporado desde Windows XP en adelante. El comando para ejecutarlo, sin necesidad de instalar ni pagar nada, es “C:WINDOWSsystem32perfmon.msc”
* Computer Cleanup: es el liberador de espacio en disco, disponible desde hace tiempo en los sistemas Windows. Para ejecutarlo simplemente es necesario “C:WINDOWSsystem32cleanmgr.exe”
* Disk Defragmentation: es el defragmentador de disco. Su comando es “C:WINDOWSsystem32dfrg.msc”
* Computer Management: es el administrador del sistema. El comando es “C:WINDOWSsystem32compmgmt.msc”
* Disk Management: es el administrador de disco del sistema. El comando asociado es “C:WINDOWSsystem32diskmgmt.msc”
* Admistrative Tools: es un acceso directo a las herramientas que permite administrar el sistema
* System Service: es un acceso directo a los servicios del sistema
* Task Manager: sin palabras… es nuestro viejo amigo el administrador de tareas
* Las demás opciones por supuesto siguen el mismo patrón, pero para hacer limpieza del sistema

Este supuesto producto gratuito, si se desea utilizar, debe ser registrado por el módico precio de U$S 99.95 (en oferta):

Lo cual significa que abonaremos ese precio para acceder a las herramientas que ya tenemos instaladas en nuestro sistema operativo desde siempre.

FUENTE

Como se puede apreciar tienen un diseño similar (clones) y se diferencian únicamente en el nombre que el atacante (o los atacantes) decidieron ponerles. Por aquí puedes ver más ejemplos de antivirus fraudulentos.

Actualización: Extra Antivirus es un nuevo rogue similar a PAntispyware09 y AV Antispyware.

Estos programas pueden ser descargados desde sus respectivos sitios pero también pueden instalarse sin el consentimiento del usuario por medio de tácticas engañosas. Por ejemplo, se podría recibir un correo con un enlace a un supuesto video (video-angelina.exe) al descargarlo e intentar verlo podría abrirse una ventana del navegador que nos muestre un video cualquiera de YouTube, para disimular, mientras que en segundo plano el malware actúa en nuestro equipo con absoluta libertad.

La infección requiere la intervención del usuario en algún momento, ya sea descargando el malware desde su propia web o instalando aplicaciones de dudosa procedencia (warez, P2P, etc), es en este tipo de casos donde el sentido común es la mejor defensa.

FUENTE

Cuando se ejecuta un archivo llamado iPornPlayer.sis, aparece en la pantalla del usuario una Licencia de Usuario Final (EULA) común y corriente que advierte sobre el contenido pornográfico, explica las reglas de uso, etc. Detectamos este programa como not-a-virus: Porn-Dialer y no como un Trojan-Dialer porque contiene una EULA.

Además, la EULA explica que la aplicación llamará a los siguientes números premium internacionales para acceder al contenido:

* +43820911995
* +43810522237
* +239980254
* +3598815400096
* +22650500089
* +6744449333
* +423662690232
* +227171020
* +41773111701
* +2284260203

Se instalan los siguientes archivos:

* ?:\system\apps\SexyVideo\SexyVideo.app
* ?:\system\apps\SexyVideo\SexyVideo.rsc
* c:\system\programs\FullLengthViewer.exe
* c:\system\recogs\EZRECOG.MDL

El archivo MDL se utiliza para ejecutar de forma automática FillLengthViewer.exe. Este archivo ejecutable es el que realiza las llamadas a los números Premium.

Este tipo de amenazas subraya dos puntos importantes. Primero, la mayoría de los usuarios no presta atención a lo que dicen las EULA, y no tiene la menor idea de lo que el programa hace en sus equipos (en este caso, llamar a números Premium). Segundo, este programa no se considera ilícito porque contiene un EULA. Aún así, se podría eliminar el EULA o cambiarlo para que no mencione las llamadas a números Premium. Esto convertiría a la aplicación en un programa malicioso, y las ganancias que obtenga se considerarían ilícitas.

FUENTE

Symantec alerta en su blog sobre la posibilidad de seguir enlaces maliciosos al buscar información sobre Conficker/Downadup. Algunos buscadores están devolviendo entre los resultados vínculos a páginas infectadas que han sido creadas para extender programas antivirus falsos.

Si se pincha en esos enlaces el usuario será llevado a una página de descarga de aplicaciones que pueden contener más malware. La web imita el aspecto de la ventana de alertas de seguridad de Windows para confundir al usuario e incitarle a pulsar en los botones.

Symantec recomienda utilizar el sistema de protección de red de sus productos, que activan una firma llamada “HTTP Fake Scan Webpage”, e impiden que el ordenador del usuario pueda visitar estos sitios.

En la misma línea actuaría la protección implementada en el nuevo Internet Explorer 8, que según un reciente estudio de NSS Lab para Microsoft, sería el mejor navegador para bloquear este tipo de páginas maliciosas.

Conficker ya ha infectado más de 10 millones de ordenadores en todo el mundo y pasado mañana, 1 de abril, se espera la activación de Conficker C la última versión de este gusano, desconociéndose los daños que pueda causar. Si los criminales que crearon el gusano quisieran, podrían utilizar esta red de ordenadores infectados para lanzar un ataque de denegación de servicio distribuido (DDOS) muy potente contra otros ordenadores en Internet. Aunque por otra parte se desconoce si realmente va a causar algún daño, por lo que algunos expertos mantienen que se le tiene un miedo exagerado.

FUENTE

El segundo rogue detectado se llama MalwareDoc.

Si bien estos programas fraudulentos se pueden instalar de diversas formas en el equipo, incluso sin la autorización del usuario, los sitios web que los alojan por lo general suelen estar muy trabajados para obtener mayor credibilidad y engañar a las víctimas a la hora de solicitarles los datos de su tarjeta de crédito.

FUENTE

Los escritores de virus realizan búsquedas en Google para identificar los sitios web más populares. Después, buscan vulnerabilidades en cada uno de estos sitios. Las páginas con vulnerabilidades más críticas son utilizadas por los cibercriminales para lanzar sus ataques. Pero, para evitar ser descubiertos, los cibercriminales evitan agregar códigos en forma de nuevos archivos a los sitios comprometidos, e incluso evitan hacer uso de códigos ofuscados. En lugar de ello, modifican los scripts que ya se están ejecutando en las páginas comprometidas. En este caso particular, los nuevos parámetros que se agregan al script existente incluyen la siguiente función: (–referer=http://www.google.com/).

Esta función revisa de dónde viene el visitante del sitio infectado. Si se detecta que el visitante ingresó a la página utilizando un enlace proveído por Google, entonces se lo redirige a varios sitios nocivos que no tienen nada que ver con el que el usuario quería visitar. ¿El resultado? Un equipo infectado.

Por si esto fuera poco, el ataque no funciona si el internauta simplemente escribe el nombre del sitio infectado. En tal caso, no se ejecuta ninguna de las funciones del script inyectado y el usuario sólo se encuentra frente al sitio que quería visitar. Esto evita que los administradores, empleados y visitantes regulares de los sitios afectados sean víctimas del ataque, mientras que los criminales todavía pueden alcanzar sus metas:

* Infectar un gran número de gente

* Evitar que el administrador del sitio descubra y elimine el script malicioso.

Este tipo de ataques no sólo perjudican a los navegantes de la red, también pueden hacer que sitios inofensivos acaben formando parte de la lista negra de los productos de seguridad.

Pero no sólo los sitios web más visitados de Google son víctimas de este nuevo ataque: los cibercriminales también están dirigiendo sus ataques a algunos sitios de productos de seguridad. Este es el caso, por ejemplo, del conocido programa de seguridad fraudulento Antivirus XP. Si un usuario está navegando en Google, tratando de encontrar información sobre este tema, su búsqueda tendrá una gran variedad de resultados. El problema es que, al ingresar a alguno de los sitios de la lista de resultados de Google, el script modificado del servidor de seguridad alterado ejecutará Antivirus 2010 en su equipo.

Parece que el comprometer sitios ofrecidos por buscadores de confianza y el infectar a los usuarios utilizando una serie de redirecciones serán dos formas de ataque muy populares en 2009, y sin duda causarán nuevos y fuertes dolores de cabeza a los administradores de sitios de Internet.

Este caso demuestra que ningun rincón de Internet es tan seguro como parece. Y este problema no sólo afecta a Google: después de realizar un par de pruebas, comprobé que este ataque también afecta a los buscadores de Yahoo! y MSN. Detectamos el programa utilizado para realizar este ataque como Trojan-Downloader.Win32.Fraudload.vffa, y estamos listos para hacer frente a futuras variantes de este ataque.

FUENTE

Por ejemplo, el siguiente troyano del tipo IRCBot detectado por ESET NOD32 como Win32/IRCBot.AK. Para realizar su propagación utiliza a los mensajeros electrónicos con el siguiente mensaje (errores ortográficos incluídos):

Si el usuario comete el error de descargar el archivo ofrecido, se instalará un troyano orientado a convertir al equipo en un zombi, conectándose a un canal de chat (IRC) cuya dirección IP puede verse en el código del programa.

Lo curioso es que si se intenta ejecutar el archivo photo.exe en una máquina virtual (en este caso VMware) recibiremos el siguiente mensaje error:

Como puede verse, este troyano está preparado para detectar los siguientes tipos de máquinas virtuales: Qemu, VirtualPC, VMware, VirtualPC, Anubis, JoeBox y VirtualBox.

Estas técnicas de auto-defensa son cada vez más comunes y por supuesto las mismas son ampliamente difundidas para dificultar el trabajo a los antivirus y sus analistas.

FUENTE

Se han creado cientos de dominios (.com, .cn,. ru, .net., .biz, etc.) en donde se alojan estos sitios falsos y se simula que el usuario necesita instalar un plugin o codec para visualizar los videos, generalmente del tipo pornográfico.

Si el usuario descarga el archivo, podría instalar un troyano que ESET NOD32 detecta a través de su heurística avanzada como Win32/Kryptik.CG.

FUENTE

Al caso ya mencionado en Keygen, cracks y warez con malware de ESET NOD32 falso, sumamos algunos otros, que simulan ser conocidas empresas o productos antivirus.

El siguiente caso corresponde a un malware que juega con las siglas de otra conocida empresa del ámbito antivirus.

Por supuesto ninguna de estas empresas tiene nada que ver con el accionar de los delincuentes y, en ambos casos, el malware descargado corresponde a variantes distintas de Adware/Spyware que ESET NOD32 detecta como Win32/Adware.Antivirus2008.

Según lo que hemos estado observando en nuestro Laboratorio, aparecen nuevas variantes de este malware continuamente (varias veces al día) y son propagados por diversos medios. Esta imagen muestra la cantidad del mismo y cada uno de ellos corresponde a un archivo distinto, con nombres parecidos, de la misma amenaza:

Como puede verse, los creadores de malware no tienen problemas en crear nuevos engaños por lo que hay que estar permanentemente atentos, utilizando productos que han sido adquiridos o descargados desde fuentes confiables y con las capacidades proactivas necesarias para detectar cada nueva variante aparecida.

FUENTE