Autores
Hemos notado que el número de falsos programas antivirus ha disminuido de forma notoria desde junio. En este momento observamos unos 10.000 intentos diarios de infectar a los usuarios con Trojan-FakeAV; en junio las cifras oscilaban entre 50.000 y 60.000.
Cantidad diaria de intentos de infección con Trojan-FakeAV durante los últimos 5 meses
Sin embargo, siguen apareciendo nuevas versiones de este programa malicioso. Como consecuencia, acabamos de añadir a la lista de programas maliciosos más comunes la nueva familia Trojan-FakeAV.Win32.OpenCloud.
Captura de pantalla de Trojan-FakeAV.Win32.OpenCloud.h en acción
Esta captura de pantalla nos muestra cómo un antivirus falso identificó como “maliciosos” algunos archivos estándar de Windows, incluyendo notepad, wmplayer, paint, calc, y explorer, entre otros. De esta manera el falso antivirus se delata a sí mismo. Resulta interesante que también mencione la protección en la nube, quizás tratando de aprovecharse de este nuevo concepto en boga. Si el usuario cae víctima del engaño y compra este falso software, le espera todavía otra estafa. En el centro de la pantalla, se anuncia un precio de 52,95$, pero en la letra pequeña, llega a costar 72,85$ por la llamada protección “de por vida”.
Ventana de pago de Trojan-FakeAV.Win32.OpenCloud.h
Hemos usado WireShark para monitorear el sitio de pago del falso antivirus. La siguiente captura de pantalla muestra que la información se envía a la URL ******online.com. Incluye información sobre el sistema operativo instalado (6.0.2900), la identidad del socio (8779) que recibirá su tajada, y otros datos.
Captura de pantalla de WireShark – ¡también una intercepción de tráfico!
Según el servicio Whois, el sitio de pago ******online.com. se registró en Rusia a nombre de Denis Verdanskiy, el 10 de mayo de este año.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
Domain name: *******ONLINE.COM Name Server: dns1.*******online.com 64.191.**.*** Name Server: dns2.*******online.com 64.191.**.*** Creation Date: 2011.10.05 Updated Date: 2011.10.22 Expiration Date: 2012.10.05 Status: DELEGATED Registrant ID: 2AOTCR9-RU Registrant Name: Denis Vernadskiy Registrant Organization: Denis Vernadskiy Registrant Street1: Moscow, B.Polyannaya 23, kv11 Registrant City: Moscov Registrant Postal Code: 109881 Registrant Country: RU |
Un anuncio en ruso sobre el programa afiliado Money Racing AV
En este anuncio, los cibercriminales invitan a los usuarios a distribuir FAkeAV a cambio de 25$ por cada compra e instalación del falso antivirus que logren. El trato ofrecido representa un poco más de un tercio del precio que paga el usuario. El resto del dinero parece llegar a los bolsillos de los dueños del programa afiliado que proporciona el falso programa antivirus, la interfaz de pago online, y que gestiona la transacción.
Queda claro que bandas de cibercriminales siguen distribuyendo con éxito falsos programas antivirus, a pesar de que este mercado ha sufrido una aguda caída. Entonces, si al navegar en Internet te encuentras con notificaciones como “Error en Windows” o “sistema infectado”, debes proceder con mucho cuidado. No debes pagar por ninguna solución antivirus que de pronto aparezca en Internet, y asegúrate de contar con un programa de seguridad legítimo.
Autores
De los mismos autores
En la misma categoría
El negocio de los falsos antivirus está vivito y coleando