En los últimos días ha aparecido otro rogue que simula, dentro del navegador del usuario, un explorador de Windows. Como suele ser, la amenaza es promocionada a través de un sitio web malicioso. Cuando el usuario accede, es alertado de la probable existencia de programas dañinos en su equipo. Posteriormente, se observa en el cuerpo del navegador una imitación del explorador de Windows, con sus unidades clásicas, y una supuesta exploración del sistema.
El sitio simula finalizar el proceso (que es en realidad un GIF animado) y alerta al usuario sobre la existencia de cientos de infecciones. Nótese que la captura de pantalla fue realizada sobre una plataforma Linux, mostrándose de todas formas el explorador de Windows.
Si el usuario presiona en cualquier sector de la ventana, se ofrece la descargar del archivo SystemGuard2009.exe que ESET NOD32 detecta como Win32/Kryptik.GJ , un troyano Downloader que descarga otras aplicaciones maliciosas. Este mismo comportamiento se puede ver en nuestro video educativo sobre rogue.
Del rastreo del archivo infectado hemos detectado gran cantidad de sitios comprometidos con la misma técnica. Algunos de ellos, ya han sido dados de baja:
Como se puede observar, las técnicas de rogue o scareware se encuentran entre los ataques más habituales y sus creadores continúan en la creación de nuevos métodos de distribución para infectar al usuario.
Sebastián
