martes, 28 de diciembre de 2010

Falsos antivirus (Rogueware)

Dentro del rogueware ha habido siempre varias tendencias. La más conocida sea quizás la de los falsos antivirus, pero existen otras. En estos momentos se ha detectado una nueva campaña muy elaborada de rogueware que simula ser una herramienta de sistema. Se han bautizado a estas variantes como "roguetools" y han creado un vídeo para demostrar su funcionamiento.

En los últimos tiempos, el rogueware enfocado hacia los falsos antivirus se ha especializado llegando a realizar programas y campañas realmente profesionales. Desde hace algunos días (las primeras muestras llegan a VirusTotal el 28 de noviembre), los creadores de este tipo de malware están apostando fuerte por programar malware que simula ser una completa herramienta de sistema. La dinámica es la conocida: se aparenta un análisis del disco duro, la memoria RAM, etc. Se alerta sobre errores inventados y se insta al usuario a pagar para solucionarlos.

Solo 7 de 43 motores los detectan por firmas en un primer momento (el primer día que es enviado a nuestros servidores). Con una de las muestras la detección es mucho mayor (37/43).

Invito al lector a visualizar el vídeo alojado en YouTube (4:03 minutos:



Curiosidades:

* Los nombres que utiliza el malware son SystemDefragmenter, ScanDisk, CheckDisk, QuickDefragmenter... con un comportamiento parecido que parece se va afinando con las diferentes versiones.
* Se ejecuta desde el archivo temporal, donde también crea una librería dinámica (DLL)
* Simula acceder al dominio defragmentetorstore.com con un certificado válido (la barra de Internet Explorer se vuelve verde) pero es falso. Accede en realidad a searchfinddivide.org. La página está caída actualmente.

Fuente: Hispasec

No hay comentarios: