Badware
14 de julio de 2008
0 comentarios
Virus Alert! / Zlob es una nueva variante de la famosa familia Zlob del cual se están reportando varios casos a diario en el foro y dada la cantidad de modificaciones que este realiza en el sistema de la víctima, es que publicamos una guía dedicada a su eliminación y una utilidad de ayuda llamada FS-AVFix
Esta variante es muy fácil de reconocer ya que el malware se encarga de insertar la frase de “Virus Alert!” en la barra de herramientas al lado del reloj:
También nos cambia el escritorio de Windows y nos abre pop-us publicitarios de falsas soluciones Antispyware como Antivirus 2008 PRO, SpyGuarder, entre otros.
Seguir leyendo »
11 de junio de 2008
0 comentarios
Desde hace unos días la gente de Kaspersky Labs publicó la noticia de haber descubierto una nueva y peligrosa variante del malware GPCode del cual según cuentan, fueron los primeros en descubrir las primeras variantes de este pero con claves más pequeñas en el 2006.
GPCode cifra los archivos doc, txt, pdf, jpg y ccp impidiendo su lectura, utilizando un algoritmo RSA con una clave de 1024 bits la cual hasta el momento es imposible de romper.
La raíz de los archivos infectados es modificada a ._crypt y son subidas a un archivo de texto donde se indica que es necesario contactar a una dirección anónima de correo electrónico para comprar una clave y así poder recuperar el acceso a nuestros archivos, o sea que un verdadero chantaje cibernético.
Kaspersky ha hecho un “Pedido publico de ayuda” a todas las compañías Antivirus al rededor del mundo, criptógrafos, instituciones gubernamentales y científicas, investigadores independientes, y a todo el que quiera dar una mano para intentar romper la llave pública con la que el troyano cifra los archivos y encontrar la llave privada asociada.
Pienso que en lugar de pedir ayuda para romper estas claves que es una acción prácticamente imposible y donde ellos mismos hablan de que se necesitarían un año y 15 millones de PCs, lo más productivo por parte de Kaspersky Labs seria buscar soluciones de prevención y bloqueo en lugar de desinfección.
Mirando en Hispasec me encontré con un par de comentarios de unos expertos en la materia con los cuales concuerdo totalmente y me gustaría compartirlo con ustedes:
“Mario Ballano” (48bits)
Me parece un poco desproporcionado intentar romper la llave del virus, creo que es algo que se veía venir ( de hecho cuando analizamos esa variante lo primero que pensé fue “¿por qué es tan lerdo el autor de este malware? con lo fácil que hubiera sido usar criptografía asimétrica!” ).
Personalmente me parece simplemente un movimiento mediático por parte de Kaspersky, ya que por mucho que se logre romper esa clave no se evita nada, el autor puede cambiarla en cualquier momento y es infinitamente más costoso romperla que recrearla ;-).
En fin, la solución debería ser detener la amenaza antes de que te afecte, no intentar solucionarlo a posteriori, este malware deja una ventana abierta a la recuperación de los datos (para sus propios fines claro) pero bien podría simplemente dañarlos o borrarlos y en tal caso no habría “marcha atrás”.
“VMalvarez” (Hispasec)
No cabe duda de que se trata de una jugada publicitaria. Ellos mismos reconocen que haría falta un año y 15 millones de ordenadores para romper la clave, y no creo que sean tan ingenuos para creer que van a poder reunir semejante poder de cómputo. Y esto de pedir ayuda me recuerda cuando pidieron ayuda a la policía porque decían que no podían con tanto malware suelto por el mundo. La cosa es hacerse notar.
Actualizado 18 de Junio:
15 de mayo de 2008
0 comentarios
En estos días están circulando por la red una gran cantidad de emails Spammers que simulan venir de “Microsoft Security Team” (Equipo de seguridad de Microsoft ) donde no solo nos informa que nuestro equipo está infectado, sino que también nos recomiendan encarecidamente que descargarnos el nuevo y “Falso Antispyware” llamado Antivirus 2008.
El texto del email es este:
Virus infection alert.
Your system is at risk of being attacked by emerging viruses!
Microsoft Security Team strongly recommends you to remove the infection:
hxxp://xxxxxx-scanner.com/
More info: hxxp://xxxxxx-scanner.com/1/?affid=124
Best regards,
Microsoft Security Team
Alerta de infección por el virus.
Su sistema está en peligro de ser atacado por los virus emergentes!
Equipo de seguridad de Microsoft te recomienda encarecidamente que para eliminar la infección:
hxxp://xxxxxx-scanner.com/
Más información: hxxp:// xxxxxx-scanner.com/1/?Affid=124
Saludos cordiales,
Equipo de seguridad de Microsoft
Al hacer clic en el enlace del correo nos lleva al sitio del falso “Antivirus 2008″ que pretende escanear nuestro sistema y nos permite descargar un archivo para limpiar el PC. Obviamente que el escaneo preliminar a nuestro sistema mostrará una gran cantidad de “supuestas infecciones” para alarmarnos y que descarguemos su falso producto que no va a hacer más que infectarnos al querer descargarnos como en este caso el Troj/Dwnldr-GHD a nuestro sistema.
Como siempre recomendamos, no visitar nunca los enlaces que nos llegan en correos no solicitados.
Surf Safely
5 de mayo de 2008
0 comentarios
AntiVirProtect Detalles Técnicos:
Nombre Completo: AntiVirProtect
Peligrosidad: Baja.
Tipo: Rogue Anti-Spyware – Malware
Sito web: antivirprotect.com
Clones: Bravesentry, Dr.Antispy y MagicAntiSpy
Método de propagación: Troyanos Zlob y Vundo. – Falsos codecs
Herramientas para su desinfección: HijackThis + MBAM.
Descripción general:
AntiVirProtect es un nuevo miembro de la familia de los “Falsos Antispywares” (Rogue) descubierto el día de hoy, que al igual que sus primos más cercanos Bravesentry, Dr.Antispy y MagicAntiSpy utiliza técnicas de Ingeniería Social para conseguir nuevas víctimas.
Observaciones de nuestra investigación:
AntiVirProtect escanea el sistema en segundos y siempre detecta algo.
AntiVirProtect solo borra si se compra la falsa versión de pago.
AntiVirProtect no se elimina del equipo ni aunque lo saquemos mediante “Agregar/Quitar Programas”
AntiVirProtect comportamiento:
- AntiVirProtect puede ralentizar su PC.
- AntiVirProtect produce falsos positivos.
- AntiVirProtect puede dañar el funcionamiento general de su PC.
- AntiVirProtect puede secuestrar su navegador página de inicio con un sitio malicioso.
- AntiVirProtect puede redireccionar sus búsquedas a sitios web falsos con que hacen falsos escaneos al equipo.
- AntiVirProtect es relativamente fácil de eliminar y si necesita ayuda personalizada y gratuita la puede solicitar abriendo un nuevo tema en el ForoSpyware.com
Otras capturas de pantalla de IE AntiVirus Seguir leyendo »
25 de abril de 2008
0 comentarios
AntiVirProtect Detalles Técnicos:
Nombre Completo: IE AntiVirus 3.2 (IE AntiVirus)
Peligrosidad: Baja.
Tipo: Rogue Anti-Spyware – Malware
Origen: Russia Federation
Sito web: www.ieantivirus.com
Clones: Files Secure, Malware Bell, IE Defender
Método de propagación: Troyanos Zlob y Vundo. – Falsos codecs
Herramientas para su desinfección: HijackThis + MBAM.
Descripción general:
IE AntiVirus es un nuevo miembro de la familia de los “Falsos Antispywares” (Rogue) descubierto el día de hoy, que al igual que sus primos más cercanos Malware Bell 3.2, IE Defender y Files Secure 2,2, utiliza técnicas de Ingeniería Social para conseguir nuevas víctimas.
Observaciones de nuestra investigación:
IE AntiVirus tiene la particularidad de emitir un sonido en nuestro PC con cada “supuesta” infección que va detectando, similar al de una “vaca mugiendo” que se convierte en una falsa alerta muy molesta que incluso continúa una vez retirado el programa de “Agregar/Quitar Programa” (que de poco sirve).
AntiVirProtect comportamiento:
- IE AntiVirus puede ralentizar su PC.
- IE AntiVirus produce falsos positivos.
- IE AntiVirus puede dañar el funcionamiento general de su PC.
- IE AntiVirus puede secuestrar su navegador página de inicio con un sitio malicioso.
- IE AntiVirus puede redireccionar sus búsquedas a sitios web falsos con que hacen falsos escaneos al equipo.
- IE AntiVirus es relativamente fácil de eliminar y si necesita ayuda personalizada y gratuita la puede solicitar abriendo un nuevo tema en el ForoSpyware.com
Otras capturas de pantalla de IE AntiVirus Seguir leyendo »
23 de abril de 2008
0 comentarios
Managedns404.com es un nuevo método utilizado por la familia de malwares Zlob / PSGuard con el mismo objetivo de siempre: el de engañar al usuarios para vender sus falsos productos.
Managedns404.com se trata de una página web que a simple vista (ver la imagen contigua de nuestra investigación), nos muestra el parece el clásico error de Windows al no poder encontrar un página web (error 404), pero en este caso con algunas opciones extra.
La nueva metodología es
- - Te infectás con una variante de Zlob o Vundo.
- - Este hace que al realizar una búsqueda en tu navegador (sea este IE, Firefox u Opera), te lleve al falso sitio.
- - El sitio nos mostrará una falsa advertencia de seguridad advirtiéndonos de contener adware en nuestro sistema.
- - El sitio nos ofrecerá como recomendación nada más y nada menos que a el falso “AntiSpyware Shield”
- - Cuando descarguemos y ejecutemos “AntiSpyware Shield” este nos va a detectar muchos posibles malwares y nos va a recomendar el uso de su versión paga y completa para eliminarlo.
Algunos podrán decir que son muchos pasos para engañar y vender un producto, y si lo parecen, pero es tan grande la distribución y la capacidad de los malwares Zlob y Vundo que hacen que sean cientos de miles los usuarios que caigan en su juego y terminen pagando por esta estafa.
El texto original y la traducción de la página dicen más o menos así:
The page you are looking for is probably blocked by adware/spyware on your PC. Remove it with AntiSpyware Shield software. Click here.
The page cannot be displayed
The page you are looking for is currently unavailable. The Web site might be experiencing technical difficulties, or you may need to adjust your browser settings.
Please try the following:
* Install AntiSpyware Shield software to clean your PC…
* If you would like Windows to try and discover them, click Detect Network Settings…
* Download AntiSpyware Shield to remove spyware and adware threats.
En español: Seguir leyendo »
22 de abril de 2008
0 comentarios
WinSpywareProtect , es un nuevo miembro de la familia de los “Falsos Antispywares” (Rogue).
WinSpywareProtect es instalado de forma ilegal, por ejemplo, a través de malwares como Zlob, Vundo, Spamming o mediante falsas alertas (ingeniería social) que pretenderán engañar al usuarios a descargar este.
En las pruebas realizadas en InfoSpyware.com pudimos comprobar que:
- Su sitio web muestra falsos premios y centros de descarga (Softpedia.com MayorGeeks, PCMagazine) que en realidad ni premiaron ni ofrecen este programa..
- Ofrece dos tipos de escaneo, uno Online y otro descargando directo el programa al equipo..
- En el escaneo online siempre nos va a detectar alguna infección y nos va a ofrecer descargar el archivo “setup1.exe” que es la versión de evaluación de WinSpywareProtect..
- El realizar un análisis con su versión de evaluación, este a diferencia de otros si se toma un poco mas de tiempo para hacerlo mas creíble, mientras vemos como supuestamente revisa uno a uno nuestro archivos, solo que sus resultados van a ser siempre de no solo muchas infecciones detectadas, sino de rutas de archivos que no existen en nuestro sistema..
- Este muestra advertencias permanentes de infecciones en nuestro sistema y usan una imagen bastante similar a la que usaban las versiones de Nod32 Antivirus 2.x, tal como se muestra en la imagen de mas abajo..
- Al desinstalar el programa desde “Agregar/Quitar Programas” este no se desinstalara por completo (aunque muestre que si) y nos seguirá abriendo continuamente las molestas ventanas de advertencias en rojo para que compremos su producto..
- Fue necesario el uso de HijackThis y MalwareByte Anti-Malware para poder eliminar completamente este y toda su basura. Seguir leyendo »
21 de abril de 2008
0 comentarios
PrivacyWatcher , es un nuevo miembro de la familia de los “Falsos Antispywares” (Rogue) descubierto el día de hoy que al igual que sus primos mas cercanos VirusHeat, IE Defender y Malware Bell 3.2, utiliza técnicas de ingeniería social para conseguir nuevas víctimas.
PrivacyWatcher es el típico “Falso Antispyware” el cual en un supuesto análisis del sistema que le lleva solo segundos, tal como lo muestra en la imagen que obtuvimos en nuestras pruebas, este nos va a mostrar un gran numero de infecciones detectadas de alta importancia y a los que nos ofrece la opción de comprar su producto para limpiar nuestro PC.
Lógicamente este escaneo es tan falso como su mismo programa y mas haya que nuestro equipo pudiera estar infectado realmente con algún tipo de malware, la compra de este producto no solo nos nos va a ayudar en nada, y pasaremos a ser una víctima mas de estos ciberdelincuentes.
Como se muestra en la imagen de abajo, PrivacyWatcher también intentan engañarnos mostrándonos avisos de malwares encontrados en varios archivos pornográficos que en realidad no existen en nuestro PC, para de esa forma intentar intimidándonos y que caigamos en su red. Seguir leyendo »
18 de abril de 2008
0 comentarios
SoftHomePage.com es el mas reciente Hijackers detectado perteneciente a la familia de Troyanos Zlob / PSGuard.
Al infectarnos con SoftHomePage, este se encarga de cambiarnos la pagina de inicio de “Internet Explorer” por la de SoftHomePage.com y nos agrega su barra de herramientas llamada Security Toolbar 7.1.
Cada vez que abramos nuestro navegador y salga la pagina SoftHomePage nos mostrara una falsa advertencia de infección por el malwares W32.Myzor.FK@yf y como solución nos ofrece un “falso Antispyware” para quitar la infección. Por supuesto todo es una truchada. (mentira)
Este malware no solo nos cambia la página de inicio por SoftHomePage.com sino que también pone dos iconos en el escritorio que apuntan a otras de sus tantos sitios relacionados como se muestra en el listado al final de este post y que estos usaran técnicas similares para convencernos de instalar sus falsos productos como “AntiSpyware Shield, Win SpyKiller, Virusheat, Virusheat 4.3, etc..”
Estos son otros sitios Hijackers encontrados el día de hoy.
85.255.116.210 softhomepage (.) com
85.255.118.179 swfutility (.) com (fake codec)
85.255.120.107 flwcoupler (.) com (fake codec)
85.255.118.213 secureinstruct (.) com
85.255.118.214 safetyalertings (.) com
85.255.118.210 gatece (.) com
85.255.118.34 gateds (.) com Seguir leyendo »
