Una rara campaña de publicidad para antivirus fraudulentos

Los dominios .co.cc, que durante los últimos meses han estado repletos de subdominios maliciosos con páginas de exploits y applets de java maliciosos, ahora están alojando páginas del antivirus fraudulento “BestAntivirus2011.exe”.

While the FakeAv rotation through .co.cc is not a shocker to security researchers at this point, one interesting domain popped out from the tens of thousands of .co.cc sub domain fakeav hits over the past day…”antispyware-macbook(dot)co(dot)cc”. This marketing quirk is odd, even for these guys. Does this domain suggest that another Apple based malware is in the works? Possibly. For now, I doubt it, because the Windows platform continues to be the dominant player, and this malware distributor seems to be very persistent at targeting the Windows platform. But it is very odd that this group is marketing “Fast Windows Antivirus 2011” from “macbook” domains.
Los dominios .co.cc, que durante los últimos meses han estado repletos de subdominios maliciosos con páginas de exploits y applets de java maliciosos, ahora están alojando páginas del antivirus fraudulento “BestAntivirus2011.exe”.

El hecho de que el antivirus fraudulento esté dando vueltas en el dominio .co.cc no sorprende a los analistas de seguridad, pero un dominio bastante interesante resaltó entre los miles de subdominios .co.cc que el antivirus visitó el último día: “antispyware-macbook(dot)co(dot)cc”. Este tipo de publicidad es rara hasta para estos cibercriminales. ¿Puede este dominio sugerir que se está preparando un programa malicioso para Apple? Es posible. Por ahora lo dudo, porque la plataforma Windows sigue siendo dominante, y este distribuidor de malware parece ser muy persistente al atacarla. Pero es muy extraño que este grupo esté ofreciendo “Fast Windows Antivirus 2011” desde dominios “macbook”.

Sin importar qué grupo esté usando estos dominios, deben haber tenido mucho éxito estafando grandes redes de publicidad para que alberguen sus anuncios y redirijan a los sitios .co.cc. Uno sólo puede especular sobre lo que vayan a desarrollar en el futuro. Desde ayer hay una breve lista de los términos que se usan en los subdominios que propagan “Bestantivirus2011.exe” desde estos accesibles y baratos dominios .co.cc. Cuando los usuarios visitan páginas en estos sitios, aparece el típico mensaje “¡Su ordenador está infectado!” para asustar a los usuarios, y la estafa “Windows Security ha encontrado una infección en tu sistema y realizará un análisis rápido de sus archivos”:antispyware-companies

antispyware-shqip

antispyware-sw

antispyware-review

antispyware-trends

antispyware-sdk

antispyware-sweep

antispyware-programmer

antispyware-information

antispyware-sdat

antispyware-palsu

antispyware-ansav

antispyware-rogue

antispyware-advanced

antispyware-antivir

antispyware-trend

antispyware-sentry

antispyware-sales

antispyware-troyano

antispyware-seller

antispyware-ranking

antispyware-gpl

antispyware-priority

antispyware-com

antispyware-market

antispyware-telefon

antispyware-keys

Detectamos estas páginas como “Hoax.HTML.Fakeantivirus.y”, pero las variantes han estado cambiando con frecuencia los últimos meses. No parece que las páginas estén relacionadas con “Lizamoon” (aunque puede haber algún cruce), y hay rumores de que el programa afiliado ya no está funcionando. Por ahora, este antivirus fraudulento se está distribuyendo de forma activa. Los analistas pueden notar que los escritores incluyeron la referencia a Harry Potter “BOMBARDAMAXIMUM” en un argumento de línea cmd.