Antes de dar a elegir al usuario la descarga del falso antivirus, se muestra una ventana donde aparece una lista de los antivirus más conocidos, dentro de esa lista también se encuentran cinco falsos antivirus que, curiosamente, son los únicos que detectan la falsa infección de nuestro sistema.

A continuación disponen de un vídeo proporcionado por Hispasec sobre el funcionamiento de este malware:

Desde el departamento técnico de ESET en Ontinet.com aconsejamos a los usuarios desconfiar de este tipo de avisos. Si disponemos de una solución de seguridad instalada y actualizada en nuestro sistema, aconsejamos realizar un análisis con la misma, y en el caso de que no se detecte nada y sigamos sospechando que nuestro equipo pueda estar infectado, directamente contactar con el soporte de la misma.

David Sánchez

En el correo, también se muestra que para recuperar el dinero enviado necesitamos imprimir el archivo adjunto y visitar la página de la agencia, pero si ejecutamos el archivo adjunto nos encontramos con algo muy distinto.

Se ejecuta automáticamente un falso antivirus llamado Security Tool. El aspecto que muestra esta aplicación ya es conocido por nuestro laboratorio de ESET en Ontinet.com, ya que hace un tiempo este mismo software fraudulento fue detectado en Internet bajo el nombre de Smart Security

Una vez se instala en nuestro equipo, realiza un supuesto análisis de las distintas unidades del sistema. Al finalizar, se muestran multitud de falsas amenazas detectadas. Para terminar el proceso de eliminación se nos insta a adquirir el producto mediante un pago y así olvidarse de estas supuestas infecciones.

Desde el departamento técnico de ESET en Ontinet.com les aconsejamos desconfiar de todo correo que haga referencia a servicios de Internet que no utilicemos. Además de no ejecutar nunca los archivos adjuntos a estos mensajes y disponer de un software antivirus actualizado.

David Sánchez

Unos días más tarde, se intentó ejecutar a través de un pdf, adjunto a un correo de falsos currículums, aprovechándose de la característica presente en Adobe Reader que permite abrir archivos adjuntos no PDF con aplicaciones externas.

En el día de hoy hemos confirmado que este malware es persistente e intenta engañar a toda costa a los usuarios para que lo instalen. Se trata de distintos ataques en un corto espacio de tiempo y siempre para instalar el mismo código malicioso. Durante las últimas horas, hemos recibido multitud de correos simulando venir del servicio de microblogging Twitter y de grupos de Youtube como el que vemos a continuación:

La web a la que somos dirigidos tras pulsar sobre los enlaces o la fotografía nos muestra una animación con el icono de Java que, durante un periodo de tiempo, simula estar procesando alguna imagen mientras que, en segundo plano, se nos instala el falso antivirus Protection Center. Tras finalizar la instalación del falso antivirus, se nos muestra un mensaje de error en la instalación del software Java. Al mismo tiempo, se nos habrá abierto una ventana de una farmacia online (suponemos que para maximizar los beneficios del ataque).

Desde el departamento técnico de Ontinet.com, recomendamos hacer caso omiso de este tipo de correos masivos para no vernos afectados por este malware, además de tener instalado en nuestros sistemas una aplicación antivirus correctamente actualizada y en funcionamiento.

Josep Albors, David Sánchez.

Al abrir el archivo PDF observamos cómo se intenta ejecutar código aprovechándose de la característica presente en Adobe Reader que permite abrir archivos adjuntos no PDF con aplicaciones externas.

En este punto, dependiendo de la elección del usuario, se procederá a descargar y ejecutar (o no) la carga maliciosa que contiene el PDF infectado, representado en este caso por un falso antivirus que ya comentamos la semana pasada. Los pasos a partir de este punto son los mismos que en caso anterior, buscando y solicitando la desinstalación de cualquier software de seguridad que el malware tenga en su base de datos, como, por ejemplo, la aplicación Malwarebytes.

Una vez el falso antivirus ha sido instalado, mostrará su interfaz y comenzará a alertar al usuario de múltiples infecciones inexistentes en el sistema para asustarlo y hacer que compre una licencia de este producto.

En este caso en concreto, los creadores se han limitado a cambiar la forma de propagación del código malicioso, pasando de ser un ejecutable comprimido a un archivo PDF, debido a que muchos usuarios aun creen que este formato es seguro.

Para evitar este tipo de infecciones recomendamos aplicar las medidas de seguridad para productos Adobe (sobre todo Adobe Reader) que la propia compañía recomendó hace un par de meses. No obstante, recomendamos revisar igualmente la configuración de Adobe Reader si lo hemos actualizado a la última versión, ya que hemos encontrado casos en los que la opción que permite la ejecución de archivos adjuntos no PDF se vuelve a marcar por defecto tras la actualización del producto. Contar con un antivirus que sea capaz de detectar tanto los archivos PDF infectados (ESET NOD32 Antivirus detecta esta amenaza como Win32/TrojanDownloader.FakeAlert.AXP) como los códigos maliciosos que se descargan también nos ayudará a evitar las infecciones.

Josep Albors

Al analizarlo, nos hemos encontrado con el típico Trojan/Downloader, que además de incluir un falso antivirus llamado Protection Center, descarga multitud de software malicioso, desactiva el administrador de tareas, cambia la página de inicio de nuestro navegador y elimina los registros de asociación con la mayoría de ejecutables.

Durante el proceso de infección, van apareciendo multitud de ventanas, tanto de publicidad del propio falso antivirus, como de falsas detecciones o incluso avisos de que es necesario desinstalar ciertas aplicaciones de seguridad como Malwarebytes.

La aplicación tiene un aspecto muy familiar a otras aplicaciones de seguridad reales. Una vez se termina de activar en el sistema, realiza un análisis del mismo mostrando las ventanas que vemos a continuación:

Desde el departamento técnico de Ontinet.com, aconsejamos utilizar un filtro antispam correctamente configurado para no recibir este tipo de mensajes peligrosos en nuestra bandeja de entrada y, en el caso de no tener un filtro antispam, disponer de una protección antivirus actualizada para evitar infectarnos.

David Sánchez

El malware que vamos a analizar a continuación nos llegó en forma de correo electrónico a nuestro buzón de correo. En él se nos indicaba que se había detectado un ataque desde Internet hacia nuestro sistema y que era recomendable realizar un análisis con una herramienta que podríamos descargar desde el enlace proporcionado.

En el instante de abrir ese correo como una página web, el antivirus nos bloqueaba el intento de acceso a una web desde la cual descargaríamos la falsa herramienta de desinfección.

Incluso si ponemos el cursor sobre el enlace, vemos la dirección a la que apunta y lo que descarga. Hasta aquí todo normal ya que son los pasos de infección que siguen habitualmente los falsos antivirus para hacer que el usuario los instale en su sistema.

No obstante, si pulsamos sobre el enlace para descargar el archivo setup.zip al que hacía referencia, vemos como el navegador nos dirige a una página que nada tiene que ver con los enlaces mostrados anteriormente. Se trata de una web dedicada a la venta de monedas de coleccionistas que no tiene relación con la propagación de malware y tampoco contiene código malicioso en ella.

Nos encontramos en un punto muerto de la investigación así que decidimos deshacer nuestros pasos y seguir buscando en otra dirección. Si recordamos el aviso del antivirus, se nos indicaba una página web desde la cual se intentaba lanzar un ataque, así que decidimos investigar en esa dirección. Sin más dilación, decidimos acceder a la web www.removeonline.com para comprobar si realmente se intenta descargar malware.

En esa web comprobamos como se nos ofrece una herramienta para eliminar códigos maliciosos. Los cabos empieza a atarse y la situación se asemeja de nuevo a la descarga de un falso antivirus.

No obstante, el archivo que nos descargamos no es la aplicación en sí, si no un instalador que se comunica con un servidor y que descarga la aplicación SpyNoMore en nuestro sistema.

Esta aplicación descargada es un fichero ejecutable que instala, esta vez sí, un falso antivirus en el ordenador. Esta aplicación es detectada por varios antivirus y se desaconseja encarecidamente su instalación en nuestro sistema.

El porqué este falso antivirus resulta más complejo de descargar que otras variantes es un misterio. Lo sencillo hubiera sido que el enlace que proporcionaba el correo electrónico descargara directamente el instalador, en lugar de dirigirnos hacia una web que nada tiene que ver con la finalidad de la amenaza y que no descarga ningún tipo de malware.

No obstante, puede que los creadores de este código malicioso decidieran hacer que su creación pareciese mas autentica y abortaron la descarga directa desde el enlace, prefiriendo que el usuario fuera dirigido a una web para que no desconfiara tanto. La inclusión del instalador también puede ser un síntoma de este intento por ganarse la confianza del usuario.

Como vemos, las estrategias usadas para infectar a los usuarios son muchas y variadas. Algunas, como en este caso, se abortan y se decide optar por otras que pudieran ser mas efectivas. Es por ello que no debemos bajar la guardia y desconfiar de cualquier descarga sospechosa, revisando los archivos con un antivirus o enviándolos a servicios de análisis como Virustotal.

Josep Albors

Exactamente, el texto indicado es el siguiente: “Ha sido usted detectado mientras realizaba descargas ilegales a través de Internet; la solución se ajusta a dos vías, ser denunciado ante los tribunales o bien eludir la acción de la Justicia mediante el abono de la cantidad indicada en euros”.

Este tipo de fraude ya había aparecido en otros países, de ello escribimos la siguiente entrada del mes de abril. Durante el día de hoy hemos detectado el mismo tipo de fraude en castellano. Como pueden observar en las capturas, aparecen referencias a artículos, noticias y asociaciones falsas, dando un aspecto de veracidad al usuario que recibe este tipo de avisos. Actualmente esta infección viene provocada por diferentes enlaces de descarga directa referentes a películas, música u otro tipo de software.

El funcionamiento de esta infección es el mismo que el de los falsos antivirus, pero en este caso, en vez de salir la típica ventana del falso antivirus indicando que el equipo está infectado y que debemos pagar una cantidad para desinfectarlo, hace referencia a un posible delito de piratería.

Desde el departamento técnico de Ontinet.com, queremos indicar a los usuarios que desconfíen de todo mensaje de Internet o correo electrónico que nos pida cualquier tipo de pago. También aconsejamos contactar con su proveedor de seguridad, el cual le ayudará a deshacerse de la posible infección de forma correcta.

David Sanchez

Esto ha cambiado durante las últimas semanas. Cada vez, de forma más continuada, se están utilizando enlaces a supuestas páginas de Google groups para descargar el malware, con lo cual, a todo el correo masivo que anteriormente adjuntaba un archivo infectado, ahora se le añade solo un enlace para descargar el malware directamente desde la página de Google groups, eliminando ese archivo adjunto.

A continuación dos ejemplos de lo comentado anteriormente. El primero corresponde a un supuesto mensaje de la compañía DHL y el segundo a una postal de felicitación:

En los dos casos, al hacer clic en el enlace o en la imagen, nos redirige a la siguiente página desde donde podremos descargar el archivo infectado:

Actualmente los archivos alojados en estos servidores corresponden a una infección de tipo Falso Antivirus.

Desde Ontinet.com queremos mostrar a los usuarios esta nueva situación para que no se vean sorprendidos por este tipo de abusos, y tras lo mostrado en esta entrada, actuar correctamente cerrando y eliminando estos correos no deseados. Así mismo, también aconsejamos tener instalada una solución antivirus actualizada y en correcto funcionamiento para que estos archivos sean detectados y eliminados antes de poder ejecutarse en el sistema.

David Sánchez.

Hoy les damos a conocer una herramienta gratuita muy útil, en el caso de que nuestro equipo se vea afectado por un falso antivirus, llamada Remove Fake Alert. Dicha herramienta dispone de una base de datos que consigue eliminar más de 50 aplicaciones distintas del tipo Rogue antivirus.

El funcionamiento de la aplicación es muy sencillo. Una vez la hemos descargado y ejecutado, se muestra una ventana donde directamente pulsaremos sobre el botón “Start”.

Nos aparece a continuación una ventana de confirmación, donde se nos pregunta si deseamos empezar a eliminar virus, y pulsamos en “Yes”. A continuación se realizará un análisis del equipo en búsqueda de este tipo de malware:

Una vez acabado el proceso deberemos reiniciar el equipo para terminar de realizar la desinfección. Desde el departamento técnico de Ontinet.com, hemos creído conveniente informar acerca de la existencia de esta herramienta, que nos puede ser de gran utilidad en caso de estar infectados por un falso antivirus. Al igual que también aconsejamos disponer de un software antivirus, activo y actualizado, para evitar ser infectados.

David Sánchez

Al hacer clic directamente en alguno de estos enlaces aparece una ventana de Internet que aparentemente parece mostrar nuestro explorador de Windows, mostrando un falso análisis con varias infecciones en el sistema:

Al finalizar dicho análisis muestra un resumen con lo detectado y nos obliga a ejecutar un archivo para la eliminación de estas supuestas infecciones:

Una vez se ejecuta esta aplicación, el falso antivirus aparecerá en nuestro sistema, haciendo casi imposible el buen uso de nuestro equipo:

Al instalarse bloquea el acceso a casi todos los ejecutables en nuestro equipo e intenta que accedamos a su página web para realizar la compra y así que los creadores de este malware obtengan los beneficios buscados.

Desde el departamento técnico de Ontinet.com, aconsejamos a los usuarios no fiarse de todos los resultados mostrados en los buscadores de Internet, ya que los desarrolladores de malware intentan ubicarse siempre entre los primeros resultados. Tampoco se fíen de ventanas que muestren supuestas aplicaciones de seguridad que indiquen que nuestro equipo está infectado, ya que no son reales. Este tipo de aplicaciones siempre pedirán ejecutar un archivo .exe, al cual debemos hacer caso omiso, y si no podemos cerrar la ventana de descarga de este archivo, tendremos la opción de finalizar el proceso de nuestro navegador a través del administrador de tareas para no vernos afectados por este tipo de amenazas.

David Sánchez