En los últimos dos años hemos escrito más de una vez sobre programas que no son lo que parecen. Los ejemplos más representativos de estos programas son los pseudoantivirus que muestran mensajes sobre la detección de programas nocivos, pero que, en realidad, no encuentran ni curan nada. Su tarea es completamente diferente: convencer al usuario de la existencia de amenazas para el ordenador (que en realidad no existen) y estimularle a pagar dinero por la activación del “producto antivirus”. Este tipo de programas, según la clasificación de Kaspersky Lab, se llama FraudTool y pertenece a la clase de RiskWare.
Así es la ventana principal de FraudTool.Win32.SpywareProtect2009
Estos programas están muy difundidos, y su fama entre los estafadores sigue creciendo. Si en la primera mitad del año 2008 los especialistas de Kaspersky Lab detectaron más de tres mil antivirus falsos, en el mismo período de 2009 han sido más de 20.000 los detectados.
Métodos básicos de difusión
Para empezar, vamos a ver como los antivirus falsos penetran en los ordenadores de los usuarios. Para su propagación se usan los mismos métodos que para la difusión de la mayoría de los programas nocivos, por ejemplo, la descarga oculta mediante descargadores troyanos, y la explotación de las vulnerabilidades de los sitios web afectados/infectados.
Pero, con más frecuencia, es el mismo usuario el que descarga un FraudTool en su ordenador. Para conseguirlo, los malhechores utilizan programas especiales (Hoax) y publicidad en Internet.
Hoax es otro tipo de los programas tramposos. Su objetivo principal es convencer al usuario de la necesidad de descargar el antivirus “mágico” e instalar el programa falso en el sistema, incluso si el usuario lo rechaza.
Por lo general, los Hoax se descargan en los ordenadores utilizando backdoors o explotando las vulnerabilidades de un sitio web. Una vez instalado el programa, aparece una ventana con una advertencia diciendo que el sistema contiene muchos errores, el registro está estropeado o se han robado datos confidenciales.
Ventana mostrada por Hoax.Win32.Fera en la pantalla del ordenador
En la captura de pantalla mostrada más arriba vemos una advertencia falsa sobre la posible infección del ordenador por programas espías, así como el llamamiento a instalar un “elminador de spyware”. Cualquiera que sea la respuesta del usuario se realizará el intento de descargar e instalar este FraudTool.
Para la difusión de los pseudoantivirus los estafadores también utilizan la publicidad en Internet. Hoy día, muchos sitios web publican banners con información sobre un nuevo producto “mágico” que quita todos los problemas. Incluso en sitios legítimos se puede ver con bastante probabilidad un banner parpadeando o una publicidad flash inoportuna del “nuevo antivirus”. Además, en la ventana del navegador del usuario pueden aparecer ventanas emergentes con ofertas para descargar un antivirus gratis. Un ejemplo de ventana de este tipo la podemos ver en la siguiente captura de pantalla.
Ventana mostrada por el navegador Opera en la pantalla del ordenador
Normalmente, una ventana de este tipo no permite al usuario elegir nada, pues solamente tiene un botón «OK» o «YES». Incluso si parece que es posible rechazar la oferta, el antivirus falso se descarga sin distinción de qué botón haya elegido el usuario– «YES» o «NO».
Recientemente los especialistas de Kaspersky Lab han descubierto un modo de descarga automática de los pseudoantivirus. Por ejemplo, еn la dirección ********.net/online-j49/yornt.html estaba publicado un script que configuraba una dirección del tipo
http://******.mainsfile.com.com/index.html?Ref=’+encodeURIComponent(document.referrer). La dirección se generaba en función del sitio web desde donde el usuario llegaba a la página con el script (esta posibilidad se realiza mediante la propiedad document.referer). En nuestro caso, el destino final era http://easyincomeprotection.cn/installer_90001.exe, donde los especialistas de Kaspersky Lab han detectado un nuevo antivirus falso FraudTool.Win32.AntivirusPlus.kv.
La difusión dinámica permite a los malhechores ocultar las direcciones IP de las páginas desde las cuales se descargan los programas nocivos, lo que dificulta la recepción de los archivos por las empresas antivirus, y, como consecuencia, su detección. Este tipo de difusión también se utiliza frecuentemente en muchos gusanos y virus populares.
Así, el gusano de red Net-Worm.Win32.Kido.js, fundamento de las botnets, usa la tecnología DDNS, y también descarga e instala en el sistema un antivirus falsificado– FraudTool.Win32.SpywareProtect2009.s. Esto quiere decir que lo más probable es que el mismo grupo de creadores de virus se ocupe tanto de los gusanos de red, como de los antivirus falsos, y los primeros se utilizan para instalar los segundos sin obstáculos.
Lo más importante es asustar
Ya sabemos cómo pueden penetrar en el sistema los falsos antivirus. Ahora hay que comprender qué hacen después.
El primer paso es el escaneo del sistema. Durante el escaneo, el pseudoantivirus muestra mensajes en una secuencia muy bien pensada: por ejemplo, un error de Windows, la detección de programas nocivos y la necesidad de instalar un antivirus. A veces, para demostrar al usuario el funcionamiento del programa, junto con el pseudoantivirus se instala un archivo particular en el ordenador que se detecta durante el “escaneo”.
El antivirus falso ofrece corregir los errores supuestamente detectados y dseinfectar el sistema, pero ya por dinero. Cuanto más fidedigna es la imitación de las acciones del software serio y legal, más posibilidades tienen los estafadores de recibir el pago por el “trabajo” del antivirus falso.
Como ejemplo, examinaremos las acciones de FraudTool.Win32.DoctorAntivirus y FraudTool.Win32.SmartAntivirus2009. En las capturas de pantalla siguientes se ve bien cómo encuentran problemas que no existen de verdad en Windows XP Professional Service Pack 2, y también piden dinero por la activación del producto. Por ejemplo, DoctorAntivirus ha detectado 40 backdoors, programas troyanos y espías, y ha mostrado la advertencia de que su existencia puede causar varios errores del sistema. Otro doctor falso, SmartAntivirus2009, encontró más problemas, y también mencionó su peligro.
Resultados del “escaneo” del sistema por los antivirus falsos DoctorAntivirus 2008
(a la izquierda) y Smart Antivirus 2009 (a la derecha)
Al pulsar el botón de eliminación de amenazas, en ambos casos aparece una ventana que propone comprar el producto falsificado. Si el usuario decide comprar el “antivirus”, se le ofrecen varios modos de pago – PayPal, American Express, etc. Una vez realizado el pago, el usuario recibe un código para registrarse. Para que el usuario no se entere del fraude, en ambos casos se verifica correctamente el código – no es posible introducir datos al azar.
Ofertas de activación para FraudTool.Win32.DoctorAntivirus (a la izquierda)
y FraudTool.Win32.SmartAntivirus 2009 (a la derecha)
Cabe destacar que las ventanas de activación de DoctorAntivirus y SmartAntivirus2009 son casi idénticas. Eso hace suponer que los desarrolladores de programas de este tipo pueden usar un generador de código que modifica solamente algunas líneas y estilos de las ventanas sin cambiar todo lo demás.
Normalmente, la necesidad de pagar se disfraza como la activación de la versión de prueba, por ejemplo, en la captura de pantalla de más abajo. También se informa al usuario de la alta calidad del trabajo y el soporte técnico del producto, una vez realizada su “activación”.
Ventana con oferta de activar el antivirus falso,
mostrada por FraudTool.Win32.AntiMalware2009
En la siguiente captura de pantalla mostramos una ventana con la oferta para activar Smart-Anti-Spyware, y se ve claramente que la procedencia del producto ofrecido es rusa. Lo más interesante es el modo de pago – a través de un SMS enviado a un número corto. Recordamos que el robo de dinero a los usuarios mediante SMS enviados a números Premium se practica activamente para la realización de varios modos de fraude en el sector ruso de Internet.
(Captura de pantalla: Smart… es el mejor ayudante del usuario! Para desinfectar su ordenador y optimizar la rapidez de su funcionamiento, Vd. tiene que comprar la versión completa. Para realizarlo, mande un SMS con el mensaje +q007 al número 1171 e inserte el código recibido en la casilla de abajo: Curar y Optimizar)
Cadena de producción
Como ya hemos mencionado más arriba, el diseño gráfico de algunas ventanas de los antivirus falsos es idéntico en muchos casos, ya que probablemente, los autores de programas de este tipo usan el mismo generador de código para crearlos.
Es significativo que para luchar contra los antivirus los programas falsos utilicen los mismos mecanismos que se usan con frecuencia en muchos gusanos polimórficos y virus. Para ser más exactos, mediante el cifrado de los datos se oculta el cuerpo básico del programa que normalmente contiene las líneas y los enlaces en acceso abierto. Para que el programa funcione, se introduce un código dinámico en el archivo; este código descifra el cuerpo, antes de pasar a la funcionalidad básica.
Como ejemplo, examinaremos dos antivirus típicos FraudTool.Win32.MSAntivirus.cg y FraudTool.Win32.MSAntispyware2009.a. Son representantes de dos familias diferentes, pero los dos están protegidos por descriptores polimórficos idénticos. Más abajo mostramos partes de archivos de ambos FraudTools que contienen descifradores. Ambos archivos tienen idéntica estructura.
Fragmento del descriptor polimórfico FraudTool.Win32.MSAntivirus.cg
Fragmento del descriptor polimórfico FraudTool.Win32.MSAntispyware2009.a
El uso de plantillas pre-elaboradas permite crear muchos programas del mismo tipo sin gastar mucho tiempo, así como evitar la detección por firmas clásicas de antivirus. Hoy en día, los pseudoantivirus se crean en cadena, y la evolución de FraudTool se centra en la complicación del cuerpo del programa, para dificultar la detección de firmas de los antivirus. Con esto, es casi imposible detectar los pseudoantivirus usando las firmas heurísticas que se basan en análisis del comportamiento. Eso se debe principalmente a que técnicamente es muy difícil distinguir un programa falso que se abre en una ventana separada, de un programa legítimo para los usuarios. Es decir, si el archivo ejecutable no está comprimido por un empaquetador ilegal, es posible detectarlo solamente mediante un análisis manual, lo que dificulta mucho la detección automática de nuevas versiones de los antivirus falsos.
Estadísticas convincentes
Pero examinemos el desarrollo de los pseudoantivirus a partir del año 2007.
Número de nuevas firmas que detectan los antivirus falsos,
2007 – 2009
Como se ve en el diagrama, durante la primera mitad de 2008 creció el número de firmas, pero se frenó a final de año. En mayo de 2009, sin embargo, tuvo lugar una explosión en el número de nuevas firmas.
Tan considerable crecimiento de la popularidad de los antivirus falsos durante el último año se debe, primero, a la sencillez del desarrollo de los mismos, al organizado sistema de propagación y a los altos beneficios que los estafadores reciben a corto plazo.
Actualmente, la colección de Kaspersky Lab contiene 318 familias diferentes de antivirus falsos. En la tabla de más abajo, vemos las veinte familias más populares de programas de este tipo, para cuya detección desde el año 2007 se ha creado el máximo número de firmas. Solo a las cinco primeras familias corresponde el 51,69% de todas las firmas para la detección de FraudTool. Todos los títulos de los representantes de programas de este tipo contienen el nombre del programa antivirus que imitan.
Nombre de familia | Número de firmas |
not-a-virus:FraudTool.Win32.SpywareGuard2008 | 4652 |
not-a-virus:FraudTool.Win32.XPAntivirus | 4519 |
not-a-virus:FraudTool.Win32.SystemSecurity | 2090 |
not-a-virus:FraudTool.Win32.XpPoliceAntivirus | 1950 |
not-a-virus:FraudTool.Win32.AwolaAntiSpyware | 1370 |
not-a-virus:FraudTool.Win32.PC-AntiSpy | 1356 |
not-a-virus:FraudTool.Win32.VirusIsolator | 1134 |
not-a-virus:FraudTool.Win32.WinSpywareProtect | 855 |
not-a-virus:FraudTool.Win32.SpyNoMore | 758 |
not-a-virus:FraudTool.Win32.Agent | 575 |
not-a-virus:FraudTool.Win32.AntivirusXPPro | 434 |
not-a-virus:FraudTool.Win32.AntiVirusPro | 374 |
not-a-virus:FraudTool.Win32.AntiSpyware | 344 |
not-a-virus:FraudTool.Win32.AntivirusPlus | 338 |
not-a-virus:FraudTool.Win32.SpywareStop | 312 |
not-a-virus:FraudTool.Win32.WinAntiVirus | 278 |
not-a-virus:FraudTool.Win32.Antivirus2009 | 227 |
not-a-virus:FraudTool.Win32.BachKhoa | 224 |
not-a-virus:FraudTool.Win32.AdvancedAntivirus | 223 |
not-a-virus:FraudTool.Win32.BestSeller | 214 |
not-a-virus:FraudTool.Win32.AntiSpywareBot | 206 |
Porcentaje de nuevas firmas que detectan Hoax y FraudTool en el número total de firmas, 2007-2009
El gráfico de arriba indica que las bases de firmas de programas que tienen como objetivo estafar a los usuarios, básicamente no se enriquecen gracias a los objetos detectables, sino mediante los programas falsos de este tipo, cuya popularidad crece constantemente.
En la actualidad, la aparición de nuevos antivirus falsos se ha convertido en un fenómeno común: a diario Kaspersky Lab detecta entre 10 y 20 programas nuevos que pertenecen a Hoax o a FraudTool. Hace dos o tres años esto hubiese parecido imposible: un nuevo programa falso de estos tipos aparecía solamente una vez cada dos días.
Métodos de protección
Aunque la infección del ordenador por antivirus falsos no hace daño al sistema, usándolos, los estafadores les roban dinero fácilmente a los usuarios poco experimentados. Una interfaz vistosa e impresionante, una serie de mensajes alarmantes sobre la infección del ordenador y los llamamientos a comprar “el producto” pueden desorientar al usuario y hacerle entregar el dinero a los estafadores. Para actuar con seguridad, hace falta memorizar varias reglas.
Si en su ordenador se ha activado un antivirus desconocido, hace falta estudiarlo atentamente – comprobar la existencia del soporte técnico y del sitio web oficial. La ausencia de los mismos significa que es una falsificación.
Hay que recordar que ningún programa legal destinado a la lucha contra el software nocivo escanea primero el ordenador y luego pide dinero por la activación. Si Vd. descubre un comportamiento de este tipo de un producto antivirus desconocido, ¡nunca pague por su uso! Es mejor instalar una solución antivirus legal de un productor de renombre para deshacerse de la infección en el ordenador.
Hay que tener en cuenta sólo las notificaciones del antivirus que tenga instalado. No hay que hacer caso a las ventanas emergentes arbitrarias sobre la infección del ordenador que pueden aparecer al visitar algunos sitios web. No haga click sobre las ventanas de este tipo incluso si ellas han pasado a través de la protección del navegador o una suite de seguridad. Esta simple regla evitará en el 99% de los casos que el programa falso entre en su ordenador.
Conclusión
Es triste que los programas creados para engañar a los usuarios se estén haciendo más y más populares.
Ahora no son falsificaciones aisladas, sino que la generación del nuevo código se hace en cantidades industriales. Hoy día este tipo de programas tramposos se desarrollan activamente – empezando desde los modos y escalas de su difusión hasta los métodos de evitar los antivirus.
Es posible suponer que con el tiempo el desarrollo de los pseudoantivirus se centrará en la complicación de los métodos de evitar los antivirus. Lo más probables es que el número de programas siga en aumento, al igual que el número de usuarios estafados. Creo que en el futuro veremos nuevos e interesantes representantes de la familia Fraudtools.
La fama creciente de los pseudoantivirus permite suponer que generan grandes beneficios a los estafadores. Y cuanto más miedo tenga el usuario, mayor será la posibilidad de que los ciberdelincuentes reciban su dinero. Otra vez más insistimos en proponer a todos los usuarios que instalen un buen programa antivirus legítimo en sus ordenadores. Esto les permitirá estar seguros de la protección de su ordenador y no malgastar su dinero.
Falsos salvadores