Autores
Mis colegas Fabio Assolini y Vicente Diaz escribieron dos entradas en el blog sobre los antivirus fraudulentos para Mac OSX. Después de ejecutarlo en un ordenador de pruebas y jugar un poco con él, descubrí que había algo de información escondida en la ventana “About” (“Acerca de…”), como se puede ver abajo:
Me llamó la atención que ofrecieran “Servicio técnico”, pero sólo está disponible para los clientes registrados. También quería comprobar algunas cosas, como si es verdad que el programa “limpia” las amenazas de tu equipo cuando te registras, y si se detienen los avisos que dicen que tu equipo está “infectado”.
Comencé a examinar el binario del antivirus fraudulento con IDA Pro. El malware es un archivo de MAC OS, está creado con Intel y Objective-C.
Después de dar un vistazo a los nombres de las funciones, algo llamó mi atención:
__RegEngine_CheckKey__.
Lo primero que revisé fue el nombre de esta función, y encontré este código:
Lo primero que noté es una matriz que comienza en Dword_1413C. Moví mi ratón por encima dentro de IDA y el primer valor es 0, pero no aparecía nada más. Sin embargo, el índice está en uno (EBX), lo que me dio la idea de buscar algo de contenido interesante en esa matriz. Conseguí esto:
Como pueden ver, la primera dword está en 0, e IDA sólo muestra eso. Pero si estás acostumbrado, notarás que las otras dwords son direcciones dentro del programa. (Todas comienzan con 0x14, por ejemplo, la dirección de esta matriz).
Dentro de IDA, se pueden crear “offsets” fuera de esos dwords. Lo hice, y apareció esto:
Aparece la lista completa y de números de serie incrustados en el código fuente del programa (hardcoded).
Busqué en la ventana “About”, para ver si de verdad ofrecían servicio al cliente a los usuarios registrados, y resulta que sí lo hacen:
Como estaba registrado, traté de “limpiar” mi sistema infectado, y el programa comenzó a eliminar las amenazas detectadas (aunque eran falsas). El producto falso da la impresión de que funciona, lo que lo ayuda a engañar a los usuarios para que piensen que es un programa antivirus legítimo:
Puedes usar cualquiera de estos números de serie para registrar tu producto antivirus fraudulento, así las alertas dejarán de inundar tu pantalla y acabar con tu paciencia. Cuando lo hagas, puedes instalar una solución antivirus para tu Mac y limpiar tu ordenador como se debe.
Estos son los números de serie que puedes copiar y pegar en el producto fraudulento:
|
1 2 3 4 5 6 7 8 9 10 |
1837-4164-2913 2073-2182-0724 8334-8928-9153 6241-9412-3024 4734-1427-9744 7593-5662-8323 9738-3426-1840 3248-2425-5577 5435-2648-4232 1515-8434-7756 |
Para concluir, quiero decir que este antivirus fraudulento está bien diseñado, y el servicio de “limpieza después del pago” sí se realiza.
Los criminales hacen un gran esfuerzo para que la víctima piense que el producto funciona y vuelva a comprarlo en el futuro.
Autores
De los mismos autores
En la misma categoría
Mac Protector: ¡Registra tu copia ahora mismo!