Nuevo caso de scareware a remolque de ACAD/Medre.A

Siempre hay personas que intentan aprovecharse de los logros de otros… Y si no te lo crees, sigue leyendo.

Como recordarás, hace poco que avisamos, a través de este blog, del descubrimiento de ACAD/Medre.A, un nuevo malware diseñado específicamente para robar ficheros de AutoCad. Incluso pusimos a disposición de nuestros usuarios una herramienta gratuita para proceder a su desinfección. Pues bien, mientras que ACAD/Medre.A tuvo un gran impacto en una industria determinada de una zona geográfica, y a la vez que la amenaza era efectivamente neutralizada, los investigadores de ESET encontraron un sitio web que decía ofrecer ayuda en la eliminación de esta amenaza.

Si echamos un vistazo a las afirmaciones de dicho website sobre ACAD/Medre.A, encontramos cosas como esta:

¡¡ACAD/Medre.A no causa ninguno de los síntomas descritos!! Aunque sí son síntomas comunes del típico software malicioso que toma el control de un ordenador…

De nuevo, estas son descripciones de muchos tipos diferentes de malware, pero ACAD/Medre.A no realiza ninguna de las acciones descritas.

Probemos a ver si funciona el link de descarga de la supuesta solución gratuita…

Ah, pues sí, funciona, se descarga. Volveremos sobre este asunto después…

Para empezar, ¿qué debemos hacer para desinfectar manualmente ACAD/Medre.A?  De hecho, aparte de eliminar algunas entradas de registro (aunque no dañarían el sistema si las dejáramos), con borrar el fichero “acad.fas” es suficiente.

Veamos ahora qué nos dice el sitio web:

No es necesario afirmar que no hay ningún proceso que genere ACAD/Medre.A y que haya que parar, no existe ningún programa ACAD/Medre.A para desinstalar, y no hay realmente entradas del registro provocadas por ACAD/Medre.A… Por lo tanto, el único consejo que nos queda es buscar en nuestro equipo los ficheros de ACAD/Medre.A y proceder a su borrado.

Así que siguiendo el consejo… ¡Oh, no, espera! Se lanza automáticamente una descarga del programa “SPYWARE Doctor”. Y a continuación, el proceso te guía por la instalación del software:

Todo bien si no fuera por un pequeño detalle… Lo que nos estamos descargando e instalando no es la herramienta original de PC Tools, compañía de Symantec, llamada “Spyware Doctor”. Lo que realmente nos estamos descargando (e instalando, si hubiéramos elegido esta opción) son tres herramientas diferentes:

El fichero “FixNCR.reg” es un editor de entradas de registro muy comunmente utilizado por códigos maliciosos, pero ninguna de estas herramientas es utilizada por ACAD/Medre.A. De hecho, Medre, solo utiliza entradas de registro que almacena en su información interna y que se parecen a:

[HKCU\Software\Microsoft\Windows\Windows Error Reporting]
“FILE”
“FILE-G”
“FILE-H”
“Time”

Según ha mencionado Robert Liposvsky en su análisis técnico, la entrada de registro [HKCU\Software\Microsoft\Windows\Windows Error Reporting] es legítima, y solo las cuatro mencionadas anteriormente son utilizadas por el malware. Ninguna de esas cuatro entradas se eliminan con esta herramienta gratuita. De hecho, se utilizan para almacenar datos internos del malware, y no hay ninguna intención de ser recuperadas por su autor o eliminadas, pero desde luego, tal y como se anuncia en el proceso, ¡cualquier usuario esperaría que arreglara esas entradas del registro también!

La segunda herramienta que estamos descargando, “SpyHunter-Installer.exe”, instala SpyHunter4, de una compañía llamada Enigma Software Group (ESG), con sede en Clearwater, Florida. Este programa anti-malware solo tiene un pequeño problema, según comprobamos en nuestro test: no detecta ACAD/Medre.A en un sistema infectado.

Por supuesto que no hay ningún antivirus que siempre detecte todas las amenazas durante todo el rato, aunque siempre lo intentamos en ESET. Sin embargo, si el programa que se ofrece en la descarga nos está ofreciendo específicamente la eliminación de este malware y no lo hace, evidentemente genera serias dudas… Hay que reseñar que la afirmación de que elimina el malware está realizada por Clean Guide PC y no por Enigma Software Group.

El tercer programa que nos estamos descargando es “SpeedyPC Pro Installer.exe”, y se trata de una utilidad que ha encontrado sesenta y tres (63) problemas en mi ordenador que requieren de mi atención. No está nada mal para un disco duro limpio e imagen de un PC con Microsoft Windows, completamente actualizado con todos los parches, y con solo una infección de ACAD/Medre.A. Lo malo es que este programa también dice ser parte del proceso de eliminación de Medre.A, aunque tampoco detecta el malware, como podéis ver en la siguiente imagen:

Lo que resulta más divertido…, la herramienta Junk Files ofrece una lista de ficheros y logs procesados de SpyHunter4. Cualquiera esperaría –si se ofrece junto a una solución- que todos estos programas interactuarían unos con otros de forma cooperativa, en vez de estar uno llamándole a otro “Junk”.

Por supuesto que si quieres arreglar alguno de los problemas que muestran bien SpyHunter4 o SpeedyPC Pro, lo primero que tienes que hacer es proceder al registro (y por lo tanto al pago) de los programas. Y si ninguna de estas dos herramientas me eliminan Medre.A de mi ordenador, ¡no lo voy a hacer yo! Pero como quiero tener mi sistema limpio, y como CleanPC Guide me ofrece una gran oportunidad de asesoramiento de un experto, he pensado que voy a probar…

Oops… Haciendo clic en cualquiera de las imágenes que me dice que haga clic para chatear, me confirman que no hay nadie disponible en estos momentos. Bueno, parece que el servicio completo de soporte 24 x 7 no está operativo durante el fin de semana…

Pero cuando estén abiertos, “intentaré” sin duda chatear con “James”. Que además intenta robarme 119 dólares para eliminar todo tipo de malware durante un año entero… ¡Bueno! Este podría ser un dinero muy bien empleado si me ayuda a estar protegido contra las molestas infecciones, si es realmente efectivo. Pero de nuevo… las soluciones de ESET hacen todo esto realmente sin cargos adicionales. De hecho, no te dejan realmente ver la página… Si echas un vistazo al vídeo verás que hay una larga pausa cuando yo le pregunto si la web es suya… Obviamente primero echan un vistazo a esta… y por supuesto me distraen volviendo a su discurso de venta.

Ver el vídeo del falso soporte técnico Medre.

Desde luego fue muy interesante cuando les pregunté cómo tenían el análisis técnico de los datos, y “James” contestó que no tenían TODOS los detalles “ya que ellos solo dan soporte vía chat a los clientes”. Pero… ¿cómo puede cualquiera darme soporte técnico sin tener todos los detalles del análisis disponible y a mano?

Insistió en preguntarme si quería contratar el servicio. Le dije que no, me presenté y les di toda la información que había recopilado de esta amenaza. Curiosamente, y con gran simpatía, me dieron las gracias por la información y me dijo que la iba a pasar a un superior. Les dije que la eliminación de ACAD/Medre.A no es realmente una ciencia secreta y que todo lo que tenía que hacer era eliminar los ficheros infectados “*.fas” (hay algo más para limpiarlo del todo, algo en el registro, pero no mucho más) y recibí un universal “Okay!”

No sé si el servicio de chat es genuino o no, pero lo que sí parece es que son un poco negados… 😉

@yolandaruiz

Yolanda Ruiz Hervás on 

Artículo original: «Scareware on the Piggy-Back of ACAD/Medre.A.», de Righard Zwienenberg, Senior Research Fellow.