TopFlix: una variante de DNS Unlocker



Ya hemos analizado los secuestradores de DNS, en general, en el pasado. Esta semana, nos gustaría echar un vistazo a un ejemplar llamado TopFlix. Pertenece a una familia de programas publicitarios que llamamos DNSUnlocker.

¿Cómo se infectan los usuarios?

Éste malware viene dentro de un bundle wrapper denominado SoftPulse. SoftPulse utiliza anuncios que atraen a los usuarios para descargar e instalar aplicaciones "útiles", como Java o Flash Player desde sus servidores y para condimentar las cosas un poco añade algunos ingredientes adicionales por su propia cuenta.


En función de la geolocalización y tal vez de algunos otros parámetros, entre ellas ofertas adicionales para digerirlo junto con el plato principal.

TopFlix se presenta como un reproductor de multimedia durante los últimos procedimientos de instalación.

Instalación

Una vez que se ejecuta el paquete que desencadena la instalación de TopFlix, podrás leer su EULA como debe ser, pero en estos casos, no siempre se muestran. Dado que ya ha obtenido los permisos necesarios para ejecutarse, no es necesario pedir permisos adicionales para instalar lo demás. Se supone que usted ya está enterado implícitamente de esto. Esto también incluye un enlace a su política de privacidad.


Desplazando hacia abajo un poco en el EULA, puede observar esta advertencia acerca de darle el permiso a los "Servicios" para cambiar la configuración de DNS:


En mi experiencia, eso ya es un factor decisivo. No permitan a nadie controlar la configuración de las DNS. Las consecuencias de cambiar eso pueden extenderse de obtener contenido extra a no poder acceder a una dirección web en absoluto.

El instalador nos ofrece otra advertencia aún más abajo, y nos permite saber que el Servicio "puede" tener los permisos necesarios sin supervisión de terceros:


El contenido de terceros

Lo que hemos visto, sobre el contenido de terceros mencionado viene como ventanas emergentes de texto, que son pequeños anuncios que aparecen cuando se pasa sobre ciertas Palabras Claves:



-y algunos otras “habilidades” como abrir una nueva pestaña o ventana del navegador.

Uno de los ejemplos que nos sirvieron nos llevó a utilizar al programa potencialmente no deseado llamado "PC Cleaner OneSafe" de "Avanquest".


Como se puede ver, la publicidad se ha marcado como "Anuncios adicionales de soporte", pero muchos de ellos no revelan ninguna información sobre su origen en lo absoluto.

La eliminación y detección

El paquete usado de “nodriza” SoftPulse es detectado por Malwarebytes Anti-Malware como PUP.Optional.SoftPulse. El instalador huésped TopFlix se detecta como Adware.TopGuard.


Prevención

En el caso de los paquetes “nodriza”, puede seguir los siguientes hábitos para evitar sus efectos secundarios:

  • Descargar software desde el propio sitio del creador siempre que sea posible.
  • Revisar las ofertas con más cuidado. En algunos casos puedes hacer clic en "Skip" o "Denegar".
  • Crear un "punto de restauración" antes de instalar o utilizar el software para poder deshacer los cambios efectuados en el sistema.


Resumen

El secuestrador de DNS llamado TopFlix. Se describe como un reproductor de multimedia y es proporcionado dentro de otro paquete llamado SoftPulse.