Seguimos con la serie de vídeos sobre troyanos del tipo rogueware, con casos que nos resulten curiosos o llamativos por alguna razón. El espécimen que presentamos en el tercer vídeo simula un antivirus. Además de hacer sufrir las molestias «habituales» del rogueware, destaca por la cantidad de «skins» diferentes que existen para él.
El rogueware se ha convertido en toda una especialidad dentro del malware hoy en día. Se trata de troyanos (normalmente para Windows) que imitan antivirus u otro tipo de software con el fin último de robar a la víctima que queda infectada, obligándole a pagar con su tarjeta de crédito por un producto inútil. Habitualmente asustan al infectado con mensajes de infecciones ficticias.
Esta pieza simula ser varios antivirus que, si bien comparten un funcionamiento básico, se camuflan bajo diferentes marcas ficticias. Así, encontramos un «Red Cross», «Peak Protection», «AntiSpaySafeguard», y «Pest Detector». Todos vienen de un primer rogueware (del que ya realizamos un vídeo) que simulaba un análisis por parte de una herramienta muy similar a VirusTotal. Estos eran los únicos «antivirus» que detectaban la amenaza.
Invitamos al lector a visualizar el vídeo alojado en YouTube (6:36 minutos).
Curiosidades:
* Durante la instalación, muestra una licencia GPL versión 3 de 2007, copiada de la Free Software Fundation.
* La instalación (aparentemente estándar) es una simulación. No es real y no se instala, solo se ejecuta e infecta.
* Cada vez que se lanzan ciertos ejecutables (como el gestor de tareas), se bloquea su ejecución y se muestra un mensaje incitando a la compra del falso antivirus. No comienza el bloqueo real hasta que se inicia sesión o se reinicia el equipo.
* Las diferentes apariencias y nombres tienen un aspecto muy profesional. Todas se presentan como el «líder mundial de soluciones de seguridad».
ssantos@hispasec.com
Más información:
una-al-dia (05/09/2010) Vídeo: Rogueware utiliza la filosofía de Virustotal para que la víctima escoja su «troyano»
http://www.hispasec.com/unaaldia/4334
una-al-dia (17/09/2010) Vídeo: Rogueware bloquea todos los ejecutables y utiliza descripciones de virus históricos realizadas por Kaspersky
http://www.hispasec.com/unaaldia/4346
Deja una respuesta