Exactamente, el texto indicado es el siguiente: “Ha sido usted detectado mientras realizaba descargas ilegales a través de Internet; la solución se ajusta a dos vías, ser denunciado ante los tribunales o bien eludir la acción de la Justicia mediante el abono de la cantidad indicada en euros”.

Este tipo de fraude ya había aparecido en otros países, de ello escribimos la siguiente entrada del mes de abril. Durante el día de hoy hemos detectado el mismo tipo de fraude en castellano. Como pueden observar en las capturas, aparecen referencias a artículos, noticias y asociaciones falsas, dando un aspecto de veracidad al usuario que recibe este tipo de avisos. Actualmente esta infección viene provocada por diferentes enlaces de descarga directa referentes a películas, música u otro tipo de software.

El funcionamiento de esta infección es el mismo que el de los falsos antivirus, pero en este caso, en vez de salir la típica ventana del falso antivirus indicando que el equipo está infectado y que debemos pagar una cantidad para desinfectarlo, hace referencia a un posible delito de piratería.

Desde el departamento técnico de Ontinet.com, queremos indicar a los usuarios que desconfíen de todo mensaje de Internet o correo electrónico que nos pida cualquier tipo de pago. También aconsejamos contactar con su proveedor de seguridad, el cual le ayudará a deshacerse de la posible infección de forma correcta.

David Sanchez

Algunas versiones ilegales de este juego, desarrollado para dispositivos móviles con Windows Mobile, ha sido modificado por desarrolladores rusos para que incluya un add-on, el cual hace que se realicen de forma silenciosa llamadas internacionales aleatorias, causando al usuario facturas de teléfono bastante elevadas. Se sigue investigando si también han sido afectados otros juegos.

Como se puede observar en la captura mostrada a continuación, aparece una lista de números de teléfono internacionales:

En los campos referentes al código phone.talk se muestran los números programados a donde se realizarán dichas llamadas. La pregunta que nos podemos hacer en este punto es, ¿Por qué esos números de teléfono? Bien, estos números seguramente sean de alta tarificación. El creador de dicho virus seguramente se lleve una comisión de dichas llamadas para así obtener su correspondiente beneficio económico.

El desarrollo de malware destinado a los dispositivos móviles está creciendo a pasos agigantados, debido en gran medida al frecuente uso que hacemos de él. Puede que los usuarios no dispongan de ordenador en su hogar, pero seguro que tienen un móvil. Desde el departamento técnico de Ontinet.com aconsejamos a los usuarios de Windows Mobile utilizar un software de seguridad en sus dispositivos móviles para así estar protegidos correctamente frente a este tipo de amenazas.

David Sánchez

En esta ocasión, la detección de este fichero por parte del antivirus es totalmente correcta, ya que el fichero original ha sido modificado para permitir mas conexiones de las recomendadas y expone al usuario a un riesgo importante. Al usar un sistema operativo modificado que no ha sido verificado por el fabricante para asegurar la máxima integración y compatibilidad entre todos los elementos que lo componen, se rompe un principio básico de la seguridad, ya que tampoco sabremos que otras “aplicaciones” habrán sido incluidas (rootkits, troyanos, keyloggers, etc.).

Este riesgo se aplica también a aquellos programas que los usuarios descargan de sitios ajenos al fabricante o corresponden a versiones crackeadas para poder usar el programa sin abonar su coste. Resulta especialmente curioso el caso de los falsos antivirus que prometen seguridad a aquellos usuarios que los usan cuando realmente están infectando su sistema, o los antivirus de marcas reconocidas que han sido modificados para ser usados sin abonar el coste de la licencia que no tienen todas las funciones de la versión original.

Ante estas amenazas lo mejor es descargar y usar los programas proporcionados directamente del fabricante para evitar sorpresas indeseables.

Josep Albors

En el mismo se nos acusa de haber descargado contenidos con derechos de autor de forma ilegal, a la vez que se nos indica que, en el fichero adjunto se encuentran los registros de nuestras actividades ilegales en los pasados 6 meses. Si picamos el anzuelo y abrimos el fichero nos encontraremos con lo siguiente:

En lugar de un fichero de registros encontraremos un ejecutable que, si intentamos extraer o ejecutar hará saltar nuestro antivirus de la siguiente forma:

Es un caso muy parecido al que comentábamos hace unos días. Tan solo cambia el motivo de las amenazas para intimidar a los usuarios y hacer que caigan en la trampa. Viendo que este tipo de propagación de malware tienen un éxito razonable no es de extrañar que veamos mas variaciones de este tipo en un futuro.
Es por ello que siempre debemos protegernos con un antivirus actualizado por si estamos con la guardia baja e intentamos abrir el archivo adjunto.

Actualizacion 17/09/2008: Al observar que este tipo de malware esta siendo bastante difundido estos días nuestro laboratorio nos proporciona más información al respecto de esta amenaza.

Se trata de un Trojan/Goldun con función rootkit que al ejecutar el archivo user-EA49943X-activities.exe crea dos ficheros en el directorio de sistema de Windows:

C:\WINDOWS\system32\cabpck.dll
C:\WINDOWS\system32\krnlcab.sys

También crea diversas entradas en el registro de Windows para asegurarse la ejecución de cabpck.dll como parte del Winlogon y de krnlcab.sys como driver en cada inicio del sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cabpck
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\kteproc.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\kteproc.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\krnlcab
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\krnlcab\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\krnlcab\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KRNLCAB\0000\Control

Si realizamos un análisis completo de este código malicioso, vemos que recibe instrucciones de los servidores con los que conecta, en concreto con:

social-bos.biz
osliki.net

Cuando se conecta con ellos envía información de la máquina infectada, pero también puede recibir información, como por ejemplo comandos para descargarse otras muestras de malware. En la siguiente imagen se puede observar la comunicación que realiza el troyano de forma oculta obteniendo a cambio las URLs de donde descarga nuevos componentes de malware como se observa a continuación:

Josep Albors