Nuevo caso de scareware a remolque de ACAD/Medre.A

Categorias: General,scareware | | Sin comentarios » |

Siempre hay personas que intentan aprovecharse de los logros de otros… Y si no te lo crees, sigue leyendo.

Como recordarás, hace poco que avisamos, a través de este blog, del descubrimiento de ACAD/Medre.A, un nuevo malware diseñado específicamente para robar ficheros de AutoCad. Incluso pusimos a disposición de nuestros usuarios una herramienta gratuita para proceder a su desinfección. Pues bien, mientras que ACAD/Medre.A tuvo un gran impacto en una industria determinada de una zona geográfica, y a la vez que la amenaza era efectivamente neutralizada, los investigadores de ESET encontraron un sitio web que decía ofrecer ayuda en la eliminación de esta amenaza.

ESET España - Caso de Scareware a propósito de la Operación Medre

Si echamos un vistazo a las afirmaciones de dicho website sobre ACAD/Medre.A, encontramos cosas como esta:

ESET España - Nuevo scareware basado en la Operación Medre

¡¡ACAD/Medre.A no causa ninguno de los síntomas descritos!! Aunque sí son síntomas comunes del típico software malicioso que toma el control de un ordenador…

ESET España - Nuevo scareware basado en la Operación Medre

De nuevo, estas son descripciones de muchos tipos diferentes de malware, pero ACAD/Medre.A no realiza ninguna de las acciones descritas.

ESET España - Nuevo scareware basado en la Operación Medre

Probemos a ver si funciona el link de descarga de la supuesta solución gratuita…

Probemos a ver si funciona el link de descarga de la supuesta solución gratuita…

Ah, pues sí, funciona, se descarga. Volveremos sobre este asunto después…

Para empezar, ¿qué debemos hacer para desinfectar manualmente ACAD/Medre.A?  De hecho, aparte de eliminar algunas entradas de registro (aunque no dañarían el sistema si las dejáramos), con borrar el fichero “acad.fas” es suficiente.

Veamos ahora qué nos dice el sitio web:

ESET España - Nuevo scareware basado en la Operación Medre

No es necesario afirmar que no hay ningún proceso que genere ACAD/Medre.A y que haya que parar, no existe ningún programa ACAD/Medre.A para desinstalar, y no hay realmente entradas del registro provocadas por ACAD/Medre.A… Por lo tanto, el único consejo que nos queda es buscar en nuestro equipo los ficheros de ACAD/Medre.A y proceder a su borrado.

Así que siguiendo el consejo… ¡Oh, no, espera! Se lanza automáticamente una descarga del programa “SPYWARE Doctor”. Y a continuación, el proceso te guía por la instalación del software:

ESET España - Nuevo scareware basado en la Operación MedreESET España - Nuevo scareware basado en la Operación Medre

Todo bien si no fuera por un pequeño detalle… Lo que nos estamos descargando e instalando no es la herramienta original de PC Tools, compañía de Symantec, llamada “Spyware Doctor”. Lo que realmente nos estamos descargando (e instalando, si hubiéramos elegido esta opción) son tres herramientas diferentes:

ESET España - Nuevo scareware basado en la Operación Medre

El fichero “FixNCR.reg” es un editor de entradas de registro muy comunmente utilizado por códigos maliciosos, pero ninguna de estas herramientas es utilizada por ACAD/Medre.A. De hecho, Medre, solo utiliza entradas de registro que almacena en su información interna y que se parecen a:

[HKCU\Software\Microsoft\Windows\Windows Error Reporting]
“FILE”
“FILE-G”
“FILE-H”
“Time”

Según ha mencionado Robert Liposvsky en su análisis técnico, la entrada de registro [HKCU\Software\Microsoft\Windows\Windows Error Reporting] es legítima, y solo las cuatro mencionadas anteriormente son utilizadas por el malware. Ninguna de esas cuatro entradas se eliminan con esta herramienta gratuita. De hecho, se utilizan para almacenar datos internos del malware, y no hay ninguna intención de ser recuperadas por su autor o eliminadas, pero desde luego, tal y como se anuncia en el proceso, ¡cualquier usuario esperaría que arreglara esas entradas del registro también!

La segunda herramienta que estamos descargando, “SpyHunter-Installer.exe”, instala SpyHunter4, de una compañía llamada Enigma Software Group (ESG), con sede en Clearwater, Florida. Este programa anti-malware solo tiene un pequeño problema, según comprobamos en nuestro test: no detecta ACAD/Medre.A en un sistema infectado.

ESET España - Nuevo scareware basado en la Operación Medre

Por supuesto que no hay ningún antivirus que siempre detecte todas las amenazas durante todo el rato, aunque siempre lo intentamos en ESET. Sin embargo, si el programa que se ofrece en la descarga nos está ofreciendo específicamente la eliminación de este malware y no lo hace, evidentemente genera serias dudas… Hay que reseñar que la afirmación de que elimina el malware está realizada por Clean Guide PC y no por Enigma Software Group.

El tercer programa que nos estamos descargando es “SpeedyPC Pro Installer.exe”, y se trata de una utilidad que ha encontrado sesenta y tres (63) problemas en mi ordenador que requieren de mi atención. No está nada mal para un disco duro limpio e imagen de un PC con Microsoft Windows, completamente actualizado con todos los parches, y con solo una infección de ACAD/Medre.A. Lo malo es que este programa también dice ser parte del proceso de eliminación de Medre.A, aunque tampoco detecta el malware, como podéis ver en la siguiente imagen:

ESET España - Nuevo scareware basado en la Operación Medre

Lo que resulta más divertido…, la herramienta Junk Files ofrece una lista de ficheros y logs procesados de SpyHunter4. Cualquiera esperaría –si se ofrece junto a una solución- que todos estos programas interactuarían unos con otros de forma cooperativa, en vez de estar uno llamándole a otro “Junk”.

ESET España - Nuevo scareware basado en la Operación Medre

Por supuesto que si quieres arreglar alguno de los problemas que muestran bien SpyHunter4 o SpeedyPC Pro, lo primero que tienes que hacer es proceder al registro (y por lo tanto al pago) de los programas. Y si ninguna de estas dos herramientas me eliminan Medre.A de mi ordenador, ¡no lo voy a hacer yo! Pero como quiero tener mi sistema limpio, y como CleanPC Guide me ofrece una gran oportunidad de asesoramiento de un experto, he pensado que voy a probar…

ESET España - Nuevo scareware basado en la Operación Medre

Oops… Haciendo clic en cualquiera de las imágenes que me dice que haga clic para chatear, me confirman que no hay nadie disponible en estos momentos. Bueno, parece que el servicio completo de soporte 24 x 7 no está operativo durante el fin de semana…

ESET España - Nuevo scareware basado en la Operación Medre

Pero cuando estén abiertos, “intentaré” sin duda chatear con “James”. Que además intenta robarme 119 dólares para eliminar todo tipo de malware durante un año entero… ¡Bueno! Este podría ser un dinero muy bien empleado si me ayuda a estar protegido contra las molestas infecciones, si es realmente efectivo. Pero de nuevo… las soluciones de ESET hacen todo esto realmente sin cargos adicionales. De hecho, no te dejan realmente ver la página… Si echas un vistazo al vídeo verás que hay una larga pausa cuando yo le pregunto si la web es suya… Obviamente primero echan un vistazo a esta… y por supuesto me distraen volviendo a su discurso de venta.

Ver el vídeo del falso soporte técnico Medre.

Desde luego fue muy interesante cuando les pregunté cómo tenían el análisis técnico de los datos, y “James” contestó que no tenían TODOS los detalles “ya que ellos solo dan soporte vía chat a los clientes”. Pero… ¿cómo puede cualquiera darme soporte técnico sin tener todos los detalles del análisis disponible y a mano?

Insistió en preguntarme si quería contratar el servicio. Le dije que no, me presenté y les di toda la información que había recopilado de esta amenaza. Curiosamente, y con gran simpatía, me dieron las gracias por la información y me dijo que la iba a pasar a un superior. Les dije que la eliminación de ACAD/Medre.A no es realmente una ciencia secreta y que todo lo que tenía que hacer era eliminar los ficheros infectados “*.fas” (hay algo más para limpiarlo del todo, algo en el registro, pero no mucho más) y recibí un universal “Okay!”

No sé si el servicio de chat es genuino o no, pero lo que sí parece es que son un poco negados… ;-)

Yolanda Ruiz Hervás

@yolandaruiz

Artículo original: “Scareware on the Piggy-Back of ACAD/Medre.A.”, de Righard Zwienenberg, Senior Research Fellow.



La actualidad aprovechada por los falsos antivirus

Este fin de semana ha sido bastante fructífero para los falsos antivirus. Estos se han aprovechado de importantes eventos ocurridos para propagarse con gran rapidez, afectando a multitud de usuarios. Unos ejemplos pueden ser el partido de futbol Real Madrid – FC Barcelona o el trágico accidente de avión en Polonia.

Al hacer clic directamente en alguno de estos enlaces aparece una ventana de Internet que aparentemente parece mostrar nuestro explorador de Windows, mostrando un falso análisis con varias infecciones en el sistema:

Al finalizar dicho análisis muestra un resumen con lo detectado y nos obliga a ejecutar un archivo para la eliminación de estas supuestas infecciones:

Una vez se ejecuta esta aplicación, el falso antivirus aparecerá en nuestro sistema, haciendo casi imposible el buen uso de nuestro equipo:

Al instalarse bloquea el acceso a casi todos los ejecutables en nuestro equipo e intenta que accedamos a su página web para realizar la compra y así que los creadores de este malware obtengan los beneficios buscados.

Desde el departamento técnico de Ontinet.com, aconsejamos a los usuarios no fiarse de todos los resultados mostrados en los buscadores de Internet, ya que los desarrolladores de malware intentan ubicarse siempre entre los primeros resultados. Tampoco se fíen de ventanas que muestren supuestas aplicaciones de seguridad que indiquen que nuestro equipo está infectado, ya que no son reales. Este tipo de aplicaciones siempre pedirán ejecutar un archivo .exe, al cual debemos hacer caso omiso, y si no podemos cerrar la ventana de descarga de este archivo, tendremos la opción de finalizar el proceso de nuestro navegador a través del administrador de tareas para no vernos afectados por este tipo de amenazas.

David Sánchez



Scareware intenta extorsionar a los usuarios de BitTorrent

Categorias: Malware,scareware | | Sin comentarios » |

Las técnicas usadas por los creadores de malware para obtener beneficios a partir de sus creaciones pueden resultar más o menos efectivas pero la que comentamos en este artículo resulta, cuanto menos, curiosa. Si los falsos antivirus hace tiempo que son una plaga e infectan a miles de usuarios cada día mostrándoles falsas alertas para que se compre su producto, el caso que comentamos a continuación también busca atemorizar a los usuarios. En esta ocasión, no obstante, su objetivo son los usuarios del servicio de intercambio de ficheros BitTorrent.

Desde hace unos días, algunos usuarios de este programa se están encontrando con la siguiente pantalla de alerta avisando al usuario de que ha infringido leyes de propiedad intelectual:

Esta pantalla de aviso permite al usuario seleccionar entre dos opciones. Evitar el procedimiento judicial mediante un pago o proseguir con el procedimiento e iniciar los trámites jurídicos. Obviamente, todo esto es un engaño y la empresa que supuestamente se encuentra detrás de estas amenazas no tiene relación alguna con las entidades de gestión de los derechos de autor, por mucho que presuma que sí. En caso de que el usuario decida optar por solucionar este problema inexistente mediante el pago de una suma de dinero, se le indicará la cantidad a abonar y los métodos de pago, tal y como observamos a continuación:

En cambio, si optamos por no pagar y seguir la supuesta vía judicial, se nos mostrará una ventana de aviso en la que se nos indica que todos los datos recopilados serán enviados a las empresas propietarias del copyright para que emprendan las medidas oportunas:

Si buscamos información acerca de la empresa que está enviando estos avisos, encontraremos una página web aparentemente normal en la que esta supuesta empresa ofrece sus servicios como asistente a las entidades de gestión de los derechos de autor.

Ahora bien, si investigamos un poco mas y averiguamos el nombre del propietario del dominio y hacemos unas cuantas búsquedas, observaremos como ese mismo nombre o dirección de correo está asociado con otras actividades delictivas cometidas en otras tantas webs de dudosa procedencia, normalmente sitios desde donde se descargan falsos antivirus. Esta relación demuestra una vez más la existencia de mafias perfectamente organizadas dedicadas a ganar grandes cantidades de dinero con la creación de malware.

En resumen. Para evitar que estos delincuentes se lucren a nuestra costa, lo mejor es evitar caer en sus trampas y desconfiar de todas estas artimañas camufladas de legalidad.

Josep Albors



Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje