En los últimos días hemos hallado un caso de malware que utiliza el nombre del popular servicio VirusTotal como medio para engañar e infectar a los usuarios. Se trata de un sitio falso (virus-total.[ELIMINADO]) en el cual se simula que  pueden explorarse archivos y verificar si los mismos se encuentran infectados, lo cual es un comportamiento similar al servicio real:

Si se presiona sobre “SCAN” se ingresa a la siguiente página (falsa y muy conocida) en donde se simula la exploración del sistema:

Al finalizar, se descarga un archivo ejecutable (con nombres como Security Tool o similares) que en realidad es un rogue detectado por la heurística de ESET NOD32 como una variante de Win32/Kryptik.CRD. Una vez descargado e instalado este programa de seguridad falso luce de la siguiente manera:

Por otro lado cuando el usuario intenta “limpiar su sistema”, el software le solicitará el registro del mismo con una tarjeta de crédito. En este caso la dirección web también es bloqueada por ESET NOD32.

Nuevamente en este caso los delincuentes se han valido de un servicio sumamente conocido y popular para engañar al usuario, intentando lograr la mayor cantidad de infecciones posibles en un corto tiempo.

Cristian Borghello
Director de Educación

Categories: Malware, Rogue
No Comments »

Tal y como advertíamos hace algunas horas, los delincuentes se siguen aprovechando de los desastres de Chile y Japón. Desde ESET hemos detectado más sitios falsos indexados en los buscadores y que intentan engañar al usuario para infectarlo:

Si el usuario ingresa a este enlace, será dirigido a un sitio con un antivirus falso, como se muestra a continuación (notar los mensajes en español):

Los archivos descargado con nombres tales como “packupdate_build6_195.exe” son detectados por ESET NOD32 como Win32/TrojanDownloader.FakeAlert.ALW.

Pedimos a todos nuestros lectores estar atentos a este tipo de engaños y otros que irán apareciendo con las horas.

Cristian Borghello
Director de Educación

Categories: Alertas, Malware, Rogue
No Comments »

Debido al reciente suceso en Chile, y así como sucedió en el caso de Haití, se detectaron casos en los que se han estado utilizando técnicas de envenenamiento de resultados de los buscadores (BlackHat SEO o SEO Poisoning, como se las conoce en inglés) para propagar rogue (falsos antivirus) a través de sitios fraudulentos.

Las páginas utilizadas son similares a las usadas cuando sucedió el terremoto en Haití y propagan el mismo tipo de malware que en esa ocasión, siendo el mismo ya detectado por el motor ThreatSense de los productos de ESET.

Es también importante destacar que aquellos interesados para obtener más información sobre el terremoto en Chile deben hacerlo a través de sitios de confianza y conocidos, dado que ya se han detectado intentos de engaños hacia aquellos interesados en realizar donaciones a las víctimas. Un ejemplo en Twitter:

Por lo anterior le recomendamos que si desean colaborar, lo hagan como se informa en el sitio de la Cruz Roja Internacional.

Seguramente se verán nuevos ejemplos en los próximos días de malware siendo propagado con temáticas relacionados al sismo en Chile así como engaños relacionados a las posibles donaciones, por lo que les recomendamos ejercer prevención y usar herramientas de seguridad, como un antivirus actualizado.

Ignacio Sbampato
Vicepresidente para Latinoamérica

Categories: Alertas, Malware, Rogue
4 Comments »

En las últimas horas hemos encontrado numerosos casos de videos falsos del ataque que sufrió el Papa Benedicto XVI por parte de una mujer. Si el usuario realiza una búsqueda determinada, encontrará en las primeras posiciones de (cualquier) buscador supuestos videos que conducen al usuario a la descarga de rogue (falsos antivirus).

Si el usuario hace clic en los enlaces ofrecidos, será dirigido a un dominio desde donde se descarga un malware que ESET NOD32 detecta proactivamente como variantes del troyano Win32/Kryptik.BNZ. En caso de no contar con una protección proactiva, el sistema se infectará.

Este antivirus falso denominado Internet Security 2010 posteriormente descarga otros programas dañinos al sistema entre las que se encuentra:

• Agrega en el registro una llamada a su propio instalador en el directorio C:\Windows\System32\nombre_aleatorio.exe (es el mismo archivo descargado la primera vez).
• Agrega en el registro y en la ruta C:\Documents and Settings\All Users\Datos de programa\número_aleatorio\ un archivo ejecutable con nombre también aleatorio. En este caso se trata del adware Win32/Adware.SecurityTool.AA, el mismo propagado en el caso de Berlusconi.
• Instala un otro adware reconocido como Win32/Adware.AdvancedVirusRemover.B en los archivos temporales de Internet.
• Cuando se abre el navegador descarga una variante del troyano Win32/Daonol y también lo aloja en los archivos temporales de Internet. Este troyano monitorea el tráfico de Internet, roba credenciales de acceso y desactiva herramientas del sistema (administrador de tareas, registro, etc).
• Se instala como rootkit (otra variante Win32/Daonol) de a través de un archivo alojado en C:\Documents and Settings\Nombre_Usuario\Configuración local\Temp\nombre_aleatorio.tmp. Este programa se instala como driver en el sistema y puede ser el causante de numerosos pantallazos azules.

Luego de cada reinicio, intenta asustar al usuario mostrando el siguiente mensaje y comienza una exploración falsa del sistema:

Si su sistema se ha infectado con estas amenazas, puede utilizar ESET NOD32 para eliminarlas, como se puede ver a continuación:

La técnica de engaño utilizada para la infección es la misma que en el caso del video de Berlusconi y puede verse completo en el video de BlackHat SEO preparado por ESET Latinoamérica por ese motivo.

Cristian Borghello
Director de Educación

Categories: Alertas, Análisis de malware, Malware, Rogue
2 Comments »

Es de público conocimiento que el Primer Ministro italiano Silvio Berlusconi el domingo pasado sufrió un ataque por el cual terminó herido. Por supuesto también el video ya ha recorrido el mundo pero, si en este momento se realiza una búsqueda en cualquier buscador, es posible llegar a videos falsos, promocionados a través de técnicas de Black Hat SEO:

Como se puede ver en la imagen, en el primer caso Google alerta de que el sitio puede dañar el sistema pero en el segundo, no se informa al usuario y si se intenta ver los videos promocionados, en realidad se ingresará a una página que promociona distintas “noticias” del mismo tipo:

Al ingresar a cualquiera de esos enlaces, el usuario es redireccionado a otro sitio en donde se realiza una exploración falsa del sistema y que termina descargando un archivo dañino del tipo rogue:

Si el usuario cae en la trampa y asume que su sistema está infectado, descargara un archivo install.exe que ESET NOD32 detecta y elimina proactivamente como Win32/Adware.SecurityTool.AA. Si el usuario no se encontraría protegido con un antivirus con capacidad de detección proactiva, se terminaría infectando con este malware.

Como siempre, los delincuentes no descansan y no desaprovechan ninguna oportunidad para infectar a los usuarios y esta noticia tan popular sobre el ataque al mandataria italiano no es una excepción.

Cristian Borghello
Director de Educación

Categories: Alertas, Malware, Rogue
4 Comments »