• Registrarse
  • Iniciar sesión


  • Resultados 1 al 7 de 7

    Grupos de Google utilizados para descargar rogue Desktop Security 2010

    Grupos de Google utilizados para descargar rogue Desktop Security 2010 En los últimos días se han estado propagando distintos tipo de malware a través de grupos de Google, los cuales son creados masivamente para este ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.285

      Atención Grupos de Google utilizados para descargar rogue Desktop Security 2010

      Grupos de Google utilizados para descargar rogue Desktop Security 2010



      En los últimos días se han estado propagando distintos tipo de malware a través de grupos de Google, los cuales son creados masivamente para este fin. A continuación se puede ver un ejemplo en donde el creador del grupo brinda una serie de archivos a los participantes del mismo y aquellos que lo descarguen serán infectados por un rogue que analizaremos posteriormente:




      En este caso también es importante conocer que no es necesario que el usuario pertenezca a ese grupo sino que el enlace directo de descarga puede ser enviado por spam a millones de usuarios y, al ser engañados con Ingeniería Social, estos proceden a su descarga. Por ejemplo uno de los correos enviados es el siguiente:




      El formato del enlace es el siguiente, en donde el nombre del archivo puede ser cualquiera:

      http://[NOMBRE_DEL_GRUPO].googlegroups.com/web/setup.zip?gda=o80xcHJ89aH…
      Nota: desde ESET ya hemos denunciado los grupos y se ha procedido a su baja.


      En este caso si se intenta descargar el archivo “setup.zip”, el mismo contiene un archivo ejecutable y al intentar obtenerlo, los productos de ESET informan de que se trata del troyano Win32/TrojanDownloader.FakeAlert.AXN.




      Como su nombre lo indica este troyano descarga (downloader) otras aplicaciones dañinas. En este caso, luego de su ejecución, se instalará un rogue llamado Desktop Security 2010 que se transformará en una pesadilla para el usuario. Al instalarse presenta la siguiente interfaz bonita:



      Este caso es interesante porque mientras el rogue realiza la falsa exploración comienza a reproducirse un audio en forma continua (y sin final) diciendo: “your system is infected”… “your system is infected”… “your system is infected”.

      Si el usuario cree este engaño y decide “limpiar” su sistema, se le solicitará el registro del producto con un “importante descuento del 40%”:




      También puede observarse en la parte inferior otra alerta de un supuesto Antispyware y, en este caso el audio reproducido es “Please, register your license”.




      A continuación se ve la ventana de “configuración del producto” en donde puede observarse que no es posible desactivar los mensajes de audio mencionados:




      Luego de haberse instalado, el usuario recibirá falsas alertas de todo tipo en forma continua, se evitará que pueda navegar por Internet y, mientras tanto, se reproducirán otros sonidos con el objetivo de asustar. Por ejemplo, si se intenta descargar la herramienta gratuita SysInspector desde el sitio de ESET la aplicación informa que se trata de una amenaza, evitando y bloqueando su descarga y ejecución a través de un mensaje y una alerta de Bitlocker, una aplicación real de Microsoft que, en este caso, es simulada.




      En lo que respecta al sistema de archivos, el rogue descarga e instala otras aplicaciones que son utilizadas también para engañar al usuario con alertas y avisos falsos. A continuación se puede ver la cantidad de aplicaciones descargadas y también en ejecución en un sistema infectado (notar los nombres de los procesos y archivos):




      Además, también se modifica el archivo hosts, lo cual evita que el sistema pueda ser actualizado o permite que se descargue otro tipo de malware al sistema. En la siguiente imagen, obtenida con SysInspector, desde un sistema infectado, las URL ocultas representan dominios dañinos y las visibles representan sitios a los cuales el usuario no podrá ingresar o bien serán falsificados, permitiendo por ejemplo ataques de robo de información y phishing.




      Sin duda alguna nos encontramos con una interesante “nueva especie” de rogue que a través de todos los medios posibles es capaz de:

      • asustar al usuario de muchas formas
      • reproducirse de varias formas posibles (grupo de Google, descargas automáticas, correo, etc)
      • dañar el sistema al punto de dejarlo inutilizable
      • permitir el robo de información confidencial
      • robar información financiera (por ejemplo datos de la tarjeta de crédito) para posteriores ataques

      Por eso, más vale prevenir que curar: todos los productos de ESET detectan y eliminan este rogue a través de su motor unificado ThreatSense.




      Autor: Cristian Borghello
      Director de Educación e Investigación

      Fuente: ESET Latinoamerica.
      Última edición por Herrante fecha: 17/05/10 a las 08:02:28
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Ex-Colaboradora Avatar de @SanMar
      Registrado
      jun 2008
      Ubicación
      Argentina
      Mensajes
      22.290

      Re: Grupos de Google utilizados para descargar rogue Desktop Security 2010

      Hola:


      No solo son un fastidio para eliminarlos, sino que encima ahora hablan...

      Buena info...


      Salu2.

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Ex-Colaborador Avatar de Rollinguit
      Registrado
      sep 2009
      Ubicación
      Argentina
      Mensajes
      6.224

      Re: Grupos de Google utilizados para descargar rogue Desktop Security 2010

      Wauu... y yo que pense que solo la chica de Avast hablaba...



      Buena info compañero Herrante...

    4. #4
      Usuario Avatar de Ritchi
      Registrado
      sep 2009
      Ubicación
      Coquimbo 4ta Región, Chile
      Mensajes
      843

      Re: Grupos de Google utilizados para descargar rogue Desktop Security 2010

      Wow que noticia muy buena amigo. Una cosa no veo las imágenes puedes ponerlas?..

      salu2

    5. #5
      Usuario Habitual Avatar de Light Archangel
      Registrado
      dic 2009
      Ubicación
      Guatemala
      Mensajes
      1.632

      Re: Grupos de Google utilizados para descargar rogue Desktop Security 2010

      Cita Originalmente publicado por Ritchi Ver Mensaje
      Wow que noticia muy buena amigo. Una cosa no veo las imágenes puedes ponerlas?..
      Yo tampoco veo las imagenes

      Por cierto, muy buena la info Herrante hay que estar atentos

      Saludos

    6. #6
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.285

      Re: Grupos de Google utilizados para descargar rogue Desktop Security 2010

      Restauradas todas las imágenes (por 3º vez) haber cuanto dura , por si en algún momento vuelven a desaparecer consultad la fuente para ver todas las ilustraciones
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Usuario Avatar de Leksya
      Registrado
      feb 2010
      Ubicación
      Venezuela
      Mensajes
      2

      Re: Grupos de Google utilizados para descargar rogue Desktop Security 2010

      Dios! solo falta que una horrenda mano salga de la pantalla y nos golpee!

      Gracias por la info, siempre es bueno estar informado un poco mas de los Antivirus Falsos