En los últimos dos años hemos escrito más de una vez sobre programas que no son lo que parecen. Los ejemplos más representativos de estos programas son los pseudoantivirus que muestran mensajes sobre la detección de programas nocivos, pero que, en realidad, no encuentran ni curan nada. Su tarea es completamente diferente: convencer al usuario de la existencia de amenazas para el ordenador (que en realidad no existen) y estimularle a pagar dinero por la activación del “producto antivirus”. Este tipo de programas, según la clasificación de Kaspersky Lab, se llama FraudTool y pertenece a la clase de RiskWare.

Así es la ventana principal de FraudTool.Win32.SpywareProtect2009

Estos programas están muy difundidos, y su fama entre los estafadores sigue creciendo. Si en la primera mitad del año 2008 los especialistas de Kaspersky Lab detectaron más de tres mil antivirus falsos, en el mismo período de 2009 han sido más de 20.000 los detectados.

Métodos básicos de difusión

Para empezar, vamos a ver como los antivirus falsos penetran en los ordenadores de los usuarios. Para su propagación se usan los mismos métodos que para la difusión de la mayoría de los programas nocivos, por ejemplo, la descarga oculta mediante descargadores troyanos, y la explotación de las vulnerabilidades de los sitios web afectados/infectados.

Pero, con más frecuencia, es el mismo usuario el que descarga un FraudTool en su ordenador. Para conseguirlo, los malhechores utilizan programas especiales (Hoax) y publicidad en Internet.

Hoax es otro tipo de los programas tramposos. Su objetivo principal es convencer al usuario de la necesidad de descargar el antivirus “mágico” e instalar el programa falso en el sistema, incluso si el usuario lo rechaza.

Por lo general, los Hoax se descargan en los ordenadores utilizando backdoors o explotando las vulnerabilidades de un sitio web. Una vez instalado el programa, aparece una ventana con una advertencia diciendo que el sistema contiene muchos errores, el registro está estropeado o se han robado datos confidenciales.

Ventana mostrada por Hoax.Win32.Fera en la pantalla del ordenador

En la captura de pantalla mostrada más arriba vemos una advertencia falsa sobre la posible infección del ordenador por programas espías, así como el llamamiento a instalar un “elminador de spyware”. Cualquiera que sea la respuesta del usuario se realizará el intento de descargar e instalar este FraudTool.

Para la difusión de los pseudoantivirus los estafadores también utilizan la publicidad en Internet. Hoy día, muchos sitios web publican banners con información sobre un nuevo producto “mágico” que quita todos los problemas. Incluso en sitios legítimos se puede ver con bastante probabilidad un banner parpadeando o una publicidad flash inoportuna del “nuevo antivirus”. Además, en la ventana del navegador del usuario pueden aparecer ventanas emergentes con ofertas para descargar un antivirus gratis. Un ejemplo de ventana de este tipo la podemos ver en la siguiente captura de pantalla.

Ventana mostrada por el navegador Opera en la pantalla del ordenador

Normalmente, una ventana de este tipo no permite al usuario elegir nada, pues solamente tiene un botón «OK» o «YES». Incluso si parece que es posible rechazar la oferta, el antivirus falso se descarga sin distinción de qué botón haya elegido el usuario– «YES» o «NO».

Recientemente los especialistas de Kaspersky Lab han descubierto un modo de descarga automática de los pseudoantivirus. Por ejemplo, ?n la dirección ********.net/online-j49/yornt.html estaba publicado un script que configuraba una dirección del tipo http://******.mainsfile.com.com/index.html?Ref='+encodeURIComponent(document.referrer). La dirección se generaba en función del sitio web desde donde el usuario llegaba a la página con el script (esta posibilidad se realiza mediante la propiedad document.referer). En nuestro caso, el destino final era http://easyincomeprotection.cn/installer_90001.exe, donde los especialistas de Kaspersky Lab han detectado un nuevo antivirus falso FraudTool.Win32.AntivirusPlus.kv.

La difusión dinámica permite a los malhechores ocultar las direcciones IP de las páginas desde las cuales se descargan los programas nocivos, lo que dificulta la recepción de los archivos por las empresas antivirus, y, como consecuencia, su detección. Este tipo de difusión también se utiliza frecuentemente en muchos gusanos y virus populares.

Así, el gusano de red Net-Worm.Win32.Kido.js, fundamento de las botnets, usa la tecnología DDNS, y también descarga e instala en el sistema un antivirus falsificado– FraudTool.Win32.SpywareProtect2009.s. Esto quiere decir que lo más probable es que el mismo grupo de creadores de virus se ocupe tanto de los gusanos de red, como de los antivirus falsos, y los primeros se utilizan para instalar los segundos sin obstáculos.

Lo más importante es asustar

Ya sabemos cómo pueden penetrar en el sistema los falsos antivirus. Ahora hay que comprender qué hacen después.

El primer paso es el escaneo del sistema. Durante el escaneo, el pseudoantivirus muestra mensajes en una secuencia muy bien pensada: por ejemplo, un error de Windows, la detección de programas nocivos y la necesidad de instalar un antivirus. A veces, para demostrar al usuario el funcionamiento del programa, junto con el pseudoantivirus se instala un archivo particular en el ordenador que se detecta durante el “escaneo”.

El antivirus falso ofrece corregir los errores supuestamente detectados y dseinfectar el sistema, pero ya por dinero. Cuanto más fidedigna es la imitación de las acciones del software serio y legal, más posibilidades tienen los estafadores de recibir el pago por el “trabajo” del antivirus falso.

Como ejemplo, examinaremos las acciones de FraudTool.Win32.DoctorAntivirus y FraudTool.Win32.SmartAntivirus2009. En las capturas de pantalla siguientes se ve bien cómo encuentran problemas que no existen de verdad en Windows XP Professional Service Pack 2, y también piden dinero por la activación del producto. Por ejemplo, DoctorAntivirus ha detectado 40 backdoors, programas troyanos y espías, y ha mostrado la advertencia de que su existencia puede causar varios errores del sistema. Otro doctor falso, SmartAntivirus2009, encontró más problemas, y también mencionó su peligro.

Resultados del “escaneo” del sistema por los antivirus falsos DoctorAntivirus 2008
(a la izquierda) y Smart Antivirus 2009 (a la derecha)

Al pulsar el botón de eliminación de amenazas, en ambos casos aparece una ventana que propone comprar el producto falsificado. Si el usuario decide comprar el “antivirus”, se le ofrecen varios modos de pago – PayPal, American Express, etc. Una vez realizado el pago, el usuario recibe un código para registrarse. Para que el usuario no se entere del fraude, en ambos casos se verifica correctamente el código – no es posible introducir datos al azar.

Ofertas de activación para FraudTool.Win32.DoctorAntivirus (a la izquierda)
y FraudTool.Win32.SmartAntivirus 2009 (a la derecha)

Cabe destacar que las ventanas de activación de DoctorAntivirus y SmartAntivirus2009 son casi idénticas. Eso hace suponer que los desarrolladores de programas de este tipo pueden usar un generador de código que modifica solamente algunas líneas y estilos de las ventanas sin cambiar todo lo demás.

Normalmente, la necesidad de pagar se disfraza como la activación de la versión de prueba, por ejemplo, en la captura de pantalla de más abajo. También se informa al usuario de la alta calidad del trabajo y el soporte técnico del producto, una vez realizada su “activación”.

Ventana con oferta de activar el antivirus falso,
mostrada por FraudTool.Win32.AntiMalware2009

Siga leyendo el tema completo en su fuente original:

http://www.viruslist.com/sp/analysis?pubid=207271046