Falso Antivirus
17 de abril de 2009
2 comentarios
HomeAntivirus 2009 Detalles Técnicos:
Nombre Completo: HomeAntivirus 2009
Peligrosidad: Media.
Tipo: Rogue Anti-Virus
Origen: Desconocido.
Sito web: hxxp://home-antivirus2009 .com
Clones: XP Antispyware 2009
Método de propagación: Falsos codecs
Herramientas para su desinfección: MalwareBytes
HomeAntivirus 2009 es un falso programa antivirus (Scareware) que al igual que sus predecesores utiliza técnicas de “Ingeniería Social” mediante ventanas emergentes, falsos mensajes de alertas en la barra de tareas y modificando el “centro de seguridad” de Windows para así asustar a los usuarios y llevarlos a comprar su falso programa.
Este Rogue se trasmite a través de la publicidad engañosa y la utilización de distintos troyanos que muestran señales de advertencia que dicen su equipo está en peligro.
HomeAntivirus 2009 también crear numerosos archivos en el equipo que se hacen pasar como las infecciones que es muestra en su escaneo, pero en realidad son inofensivos, ya que no se puede ejecutar y que por tanto no pueden afectar a su equipo de ningún modo y son solo parte del engaño de este Scareware para vendernos su versión de pago.
Seguir leyendo »
14 de abril de 2009
7 comentarios
Detalles Técnicos:
Nombre: Antivirus XP Pro 2009 (AntivirusXPPro)
Peligrosidad: Alta.
Tipo: Falso Antivirus.
Origen: Federación Rusa.
Web: hxxp://antivirusxppro2009.com
Clones: Renus 2008,
Método de propagación: Vundo.
Herramientas para su desinfección: HijackThis + MBAM.
Descripción general:
Antivirus XP Pro 2009 es un nuevo Falso Antivirus descubierto hace unos días atrás, el cual se están reportando cada días más casos de infección por este en nuestro foro de ayuda.
AntivirusXPPro 2009 al igual que el resto de los programas Rogue, intenta engañarnos mediante técnicas de Ingeniería Social, mostrándonos supuestas infecciones que no existen para que compremos su versión de pago.
La particularidad de este es más que nada como llega a nuestros PCs, y es que utiliza uno de los malwares más difundidos a nivel usuario llamado Vundo / Virtuamundo con técnicas bastante agresivas como las siguientes:
- Secuestro de la página de Google que abramos en nuestro IE.
- Secuestro del escritorio de Windows con mensaje de WARNING.
- Mensajes de Alerta de Infección en la barra de tareas junto al reloj.
Tal como lo muestran las siguientes imágenes, estos avisos en la página directamente de Google hacen confundir a muchos usuarios al pensar que es Google realmente el que le está avisando que su equipo está infectado y que utilice “Antivirus XP PRO” para limpiarlo.
Seguir leyendo »
10 de abril de 2009
7 comentarios
Virus Sweeper es un nuevo falso Antivirus de la familia de “Virus Doctor”, “Ultra Antivir 2009”, “Virus Melt”, “Virus Alarm” los cuales comparten la misma interfaz visual en todos sus productos a los cuales solo les cambian el nombre al programa.
Virus Sweeper al igual que sus hermanos es descargado de forma automática al visitar alguno de los tantos sitios falsos de escaneos de malwares online (ver imagen más abajo). Estos sitios al generarse varios cada semana son difíciles de poder bloquear y aunque últimamente se está trabajando mucho más rápido para lograrlo, en el poco tiempo que están online consiguen un gran numero de nuevas víctimas.
El objetivo de Virus Sweeper, que es el objetivo de todos los falsos programas de seguridad (Rogueware), es el de convencer a la víctima a pagar por su falsa versión “completa” de la aplicación, a fin de eliminar lo que son, en realidad, falsos positivos que este programa está diseñado para mostrar en el equipo infectado de diversas maneras, como falsos análisis y constantes notificaciones por medio de ventanas de alertas en el sistema.
Seguir leyendo »
10 de abril de 2009
0 comentarios
Se le denomina Rogue Software (o también Rogue Rogueware, FakeAVs, Badware, Scareware) a los “Falsos programas de seguridad” que no son realmente lo que dicen ser, sino que todo lo contrario. Bajo la promesa de solucionar falsas infecciones, cuando el usuario instala estos programas, su sistema es infectado.
Estos falsos Antivirus y Antispyware están diseñados para mostrar un resultado predeterminado (siempre de infección) y no hacen ningún tipo de escaneo real en el sistema al igual que no eliminaran ninguna infección que podamos tener.
Seguir leyendo »
13 de diciembre de 2008
40 comentarios
Antivirus 360 Detalles Técnicos:
Nombre Completo: Antivirus 360 (AV360)
Peligrosidad: Alta.
Tipo: Rogue Anti-Spyware – Malware
Origen: Hackers Federación Rusia.
Sito web: hxxp://antivirus-360. com
Clones: Antivirus 2009
Método de propagación: Falsos codecs
Herramientas para su desinfección: HijackThis + MBAM.
Descripción general:
Antivirus 360 (Antivirus360) es un nuevo Rogueware, que pasa a formar parte del enorme número de aplicaciones de seguridad falsas (Rogue Software) que actualmente circulan en la Internet y de la cual venimos manteniendo en un listado actualizado en nuestro foro. Al igual que su hermano gemelo Antivirus 2009, este se propaga de las mismas maneras, falsos mensajes de codecs necesarios para ver un video o la supuesta falta de algún Plugins de Adobe, Flash, QuickTime Player, etc… por lo que es muy importante contar siempre con nuestro sistema actualizado y no ejecutar todo lo que se nos ofrece en la web sin investigar un poco antes.
El objetivo de Antivirus 360, que es el objetivo de todos los falsos programas de seguridad (Rogueware), es el de convencer a la víctima a pagar por su falsa versión “completa” de la aplicación, a fin de eliminar lo que son, en realidad, falsos positivos que este programa está diseñado para mostrar en el equipo infectado de diversas maneras, como falsos análisis y constantes notificaciones por medio de ventanas en el sistema.
Antivirus 360 comportamiento:
- Antivirus 360 puede ralentizar su PC.
- Antivirus 360 produce falsos positivos.
- Antivirus 360 puede dañar el funcionamiento general de su PC.
- Antivirus 360 instala otros malwares es su sistema como Spyware.IEMonster, Zlob y Vundo.
- Antivirus 360 secuestra su pagina de inicio de IE, para recomendarle comprar la versión de pago.
- Antivirus 360 produce continuos mensajes pop-ups y avisos en la zona del reloj con falsos positivos.
- Antivirus 360 puede ser algo complicado de eliminar, por lo que si necesita ayuda personalizada y gratuita la puede solicitar abriendo un nuevo tema en el ForoSpyware.com
Otras capturas de pantalla después del salto:
\\\
Seguir leyendo »
17 de septiembre de 2008
4 comentarios
Antivirus Lab 2009 Detalles Técnicos:
Nombre Completo: Antivirus Lab 2009
Peligrosidad: Alta.
Tipo: Rogue Anti-Spyware
Origen: Desconocido.
Sito web: hxxp://Viruslabs2009. com
Clones: VirusResponse Lab 2009
Método de propagación: Zlob y Vundo.
Herramientas para su desinfección: HijackThis + MBAM.
Descripción general:
Antivirus Lab 2009 (AntivirusLab2009) es un nuevo miembro de la familia de los “Falsos Anti-Virus” (Rogue) detectado hace dos días y que el día de hoy ya nació su hermano gemelo llamado “VirusResponse Lab 2009”.
“VirusResponse Lab 2009” es exactamente el mismo programa falso que “Antivirus Lab 2009” donde solo se le cambia el nombre y el sitio web de descarga, pero manteniendo a los mismos ciberdelincuentes detrás.
Este se suma no solo a la larga lista de Falsos programas de seguridad los cuales venimos manteniendo en un listado actualizado desde el foro, sino que también se suma a la larga lista de Clones como por ej:
- “Antivirus Security” es un clon de “Antivirus XP”
- “Micro Antivirus 2009” es un clon de “MS Antivirus”
- ”Protector XP 2009” es un clon de “XP Antivirus 2008”
- “Smart Antivirus 2009” es un clon de “AntiSpyware 2008”
- “Antispyware XP PRO” es un clon de “Antispyware 2008 XP”
- “Windows Antivirus” es un clon de “Windows AntiVirus 2008”
Seguir leyendo »
6 de septiembre de 2008
17 comentarios
Smart Antivirus 2009 Detalles Técnicos:
Nombre: SmartAntivirus2009 (Smart Antivirus 2009)
Peligrosidad: Alta.
Tipo: Rogue Anti-Spyware
Origen: Desconocido.
Sito web: hxxp://Smartantivirus2009. com
Clones: Antivirus 2009 – Antivirus 2008,
Método de propagación: Zlob y Vundo.
Herramientas para su desinfección: HijackThis + MBAM.
Descripción general:
Smart Antivirus 2009 es un nuevo miembro de la familia de los “Falsos Anti-Virus” (Rogue) detectado hace unos días atrás circulando por la red y que ya nos están reportando los primeros casos. Es el nuevo gemelo de Antivirus 2009 y primo hermano de Antivirus 2008 y la serie de Antivirus XP…
Por lo visto los ciberdelincuentes están ya implementando el año 2009 para las versiones de todos sus productos al igual que lo hacen las compañías reales de Antivirus, por lo que seguramente en lo que queda de este año sigamos viendo los mismos nombres pero con nuevas versiones como en estos casos.
Smart Antivirus 2009 comportamiento:
- Smart Antivirus 2009 puede ralentizar su PC.
- Smart Antivirus 2009 produce falsos positivos.
- Smart Antivirus 2009 puede dañar el funcionamiento general de su PC.
- Smart Antivirus 2009 secuestra su pagina de inicio de IE, para recomendarle comprar la versión de pago.
- Smart Antivirus 2009 produce continuos mensajes pop-ups y avisos en la zona del reloj con falsos positivos.
- Smart Antivirus 2009 es relativamente fácil de eliminar y si necesita ayuda personalizada y gratuita la puede solicitar abriendo un nuevo tema en el ForoSpyware.com
Otras capturas de pantalla después del salto:
Seguir leyendo »
15 de julio de 2008
1 comentario
Antivirus 2009 Detalles Técnicos:
Nombre: Antivirus2009 (Antivirus 2009)
Peligrosidad: Alta.
Tipo: Rogue Anti-Spyware
Origen: Desconocido.
Web: hxxp://microsoft.browserprotectioncenter.com
Clones: Antivirus 2008,
Método de propagación: Zlob y Vundo.
Herramientas para su desinfección: HijackThis + MBAM.
Descripción general:
Antivirus 2009 es un nuevo miembro de la familia de los “Falsos Antispywares” (Rogue) descubierto hace unos días atrás, que por lo visto aunque estamos todavía en el año 2008, como lo hacen con los autos, este ya esta sacando su versión 2009.
Observaciones de nuestra investigación:
Antivirus 2009 tiene la particularidad de que una vez que el troyano infecta nuestro sistema y nos hace descargar este falso programa Antivirus 2009 este aparte de mostrar falsos resultados en su análisis, se encarga de secuestrar nuestra página de Google para incrustar una supuesta recomendación de este:
Google Tips
Google has detected unregistered Antivirus 2009 copy on your computer. Google recommends you to activate Antivirus 2009 to protect your PC from malicious intrusions from the Internet.
Básicamente nos esta diciendo que el mismo Google esta detectando que tenemos una versión sin registrar del Antivirus 2009 en nuestro PC y que nos recomienda que activemos (ósea compremos) este para proteger nuestro PC de intrusiones de malwares por Internet.
Seguir leyendo »
14 de julio de 2008
0 comentarios
Virus Alert! / Zlob es una nueva variante de la famosa familia Zlob del cual se están reportando varios casos a diario en el foro y dada la cantidad de modificaciones que este realiza en el sistema de la víctima, es que publicamos una guía dedicada a su eliminación y una utilidad de ayuda llamada FS-AVFix
Esta variante es muy fácil de reconocer ya que el malware se encarga de insertar la frase de “Virus Alert!” en la barra de herramientas al lado del reloj:
También nos cambia el escritorio de Windows y nos abre pop-us publicitarios de falsas soluciones Antispyware como Antivirus 2008 PRO, SpyGuarder, entre otros.
Seguir leyendo »
11 de junio de 2008
0 comentarios
Desde hace unos días la gente de Kaspersky Labs publicó la noticia de haber descubierto una nueva y peligrosa variante del malware GPCode del cual según cuentan, fueron los primeros en descubrir las primeras variantes de este pero con claves más pequeñas en el 2006.
GPCode cifra los archivos doc, txt, pdf, jpg y ccp impidiendo su lectura, utilizando un algoritmo RSA con una clave de 1024 bits la cual hasta el momento es imposible de romper.
La raíz de los archivos infectados es modificada a ._crypt y son subidas a un archivo de texto donde se indica que es necesario contactar a una dirección anónima de correo electrónico para comprar una clave y así poder recuperar el acceso a nuestros archivos, o sea que un verdadero chantaje cibernético.
Kaspersky ha hecho un “Pedido publico de ayuda” a todas las compañías Antivirus al rededor del mundo, criptógrafos, instituciones gubernamentales y científicas, investigadores independientes, y a todo el que quiera dar una mano para intentar romper la llave pública con la que el troyano cifra los archivos y encontrar la llave privada asociada.
Pienso que en lugar de pedir ayuda para romper estas claves que es una acción prácticamente imposible y donde ellos mismos hablan de que se necesitarían un año y 15 millones de PCs, lo más productivo por parte de Kaspersky Labs seria buscar soluciones de prevención y bloqueo en lugar de desinfección.
Mirando en Hispasec me encontré con un par de comentarios de unos expertos en la materia con los cuales concuerdo totalmente y me gustaría compartirlo con ustedes:
“Mario Ballano” (48bits)
Me parece un poco desproporcionado intentar romper la llave del virus, creo que es algo que se veía venir ( de hecho cuando analizamos esa variante lo primero que pensé fue “¿por qué es tan lerdo el autor de este malware? con lo fácil que hubiera sido usar criptografía asimétrica!” ).
Personalmente me parece simplemente un movimiento mediático por parte de Kaspersky, ya que por mucho que se logre romper esa clave no se evita nada, el autor puede cambiarla en cualquier momento y es infinitamente más costoso romperla que recrearla ;-).
En fin, la solución debería ser detener la amenaza antes de que te afecte, no intentar solucionarlo a posteriori, este malware deja una ventana abierta a la recuperación de los datos (para sus propios fines claro) pero bien podría simplemente dañarlos o borrarlos y en tal caso no habría “marcha atrás”.
“VMalvarez” (Hispasec)
No cabe duda de que se trata de una jugada publicitaria. Ellos mismos reconocen que haría falta un año y 15 millones de ordenadores para romper la clave, y no creo que sean tan ingenuos para creer que van a poder reunir semejante poder de cómputo. Y esto de pedir ayuda me recuerda cuando pidieron ayuda a la policía porque decían que no podían con tanto malware suelto por el mundo. La cosa es hacerse notar.
Actualizado 18 de Junio:
