En los últimos tiempos, el rogueware enfocado hacia los falsos antivirus se ha especializado llegando a realizar programas y campañas realmente profesionales. Desde hace algunos días (las primeras muestras llegan a VirusTotal el 28 de noviembre), los creadores de este tipo de malware están apostando fuerte por programar malware que simula ser una completa herramienta de sistema. La dinámica es la conocida: se aparenta un análisis del disco duro, la memoria RAM, etc. Se alerta sobre errores inventados y se insta al usuario a pagar para solucionarlos.
Solo 7 de 43 motores los detectan por firmas en un primer momento (el primer día que es enviado a nuestros servidores). Con una de las muestras la detección es mucho mayor (37/43).
Invitamos al lector a visualizar el vídeo alojado en YouTube (4:03 minutos). Si por alguna razón no se visualiza bien, recomendamos reproducirlo a 480p. Este valor se puede modificar desde la barra de desplazamiento de YouTube:
Curiosidades:
* Los nombres que utiliza el malware son SystemDefragmenter, ScanDisk, CheckDisk, QuickDefragmenter... con un comportamiento parecido que parece se va afinando con las diferentes versiones.
* Se ejecuta desde el archivo temporal, donde también crea una librería dinámica (DLL)
* Simula acceder al dominio defragmentetorstore.com con un certificado válido (la barra de Internet Explorer se vuelve verde) pero es falso. Accede en realidad a searchfinddivide.org. La página está caída actualmente.
Sergio de los Santos
ssantos@hispasec.com
ssantos@hispasec.com
No hay comentarios:
Publicar un comentario