Cuidado con los falsos antivirus

Virus rogueware - Roguetools

Dentro del rogueware ha habido siempre varias tendencias. La más
conocida sea quizás la de los falsos antivirus, pero existen otras. En
estos momentos hemos detectado una nueva campaña muy elaborada de
rogueware que simula ser una herramienta de sistema.

En los últimos tiempos, el rogueware enfocado hacia los falsos antivirus
se ha especializado llegando a realizar programas y campañas realmente
profesionales. Desde hace algunos días (las primeras muestras llegan a
VirusTotal el 28 de noviembre), los creadores de este tipo de malware
están apostando fuerte por programar malware que simula ser una completa
herramienta de sistema. La dinámica es la conocida: se aparenta un
análisis del disco duro, la memoria RAM, etc. Se alerta sobre errores
inventados y se insta al usuario a pagar para solucionarlos.

Antivirus Falsos.

Solo 7 de 43 motores los detectan por firmas en un primer momento. Con una de las
muestras la detección es mucho mayor (37/43)

* Los nombres que utiliza el malware son SystemDefragmenter, ScanDisk,
CheckDisk, QuickDefragmenter... con un comportamiento parecido que
parece se va afinando con las diferentes versiones.
* Se ejecuta desde el archivo temporal, donde también crea una librería
dinámica (DLL)
* Simula acceder al dominio defragmentetorstore.com con un certificado
válido (la barra de Internet Explor se vuelve verde) pero es falso.
Accede en realidad a searchfinddivide.org. La página está caída actualmente.

From: hispasec.com

  FEELPCS
www.FEELPCS.com
In god we trust