LivePcCare
PeligrosidadDañoPropagación

Efectos 

LivePcCare es un programa de tipo adware que realiza las siguientes acciones:

• Llega al ordenador a través de ciertos enlaces maliciosos desde los que se descarga el programa. Cuando el usuario accede a alguno de estos enlaces, se abre un interfaz en el que se se simula un análisis de ordenador para saber si está infectado.
• El interfaz tiene el siguiente aspecto:
  
  
• Una vez finalizado, muestra resultados de infección engañosos y le recomienda al usuario desinfectar el ordenador.
• Para ello descarga en el ordenador un archivo con el siguiente icono:
  
  
• Si el usuario ejecuta el archivo, comenzará a instalarse el programa en el ordenador:
  
  
• Después, comienza a realizar un análisis del sistema en busca de posible malware y muestra resultados de infección falsos:
  
  
• Si el usuario decide eliminar estas amenazas, es redirigido a la página de compra del producto:
  
  

Metodo de Infección 

LivePcCare crea las siguientes carpetas:

• LPEIBWICG, en el directorio Archivos de programa.
• d0daa65, en la ruta C:\Documents and Settings\All Users\Datos de programa.

LivePcCare crea una copia del programa denominado LPD0DA.EXE.EXE, en la carpeta d0daa65, creada por él mismo en la ruta C:\Documents and Settings\All Users\Datos de programa.

LivePcCare modifica el archivo HOSTS de tal forma que cuando el usuario acceda a páginas de buscadores, como Google, sea redirigido a páginas en las que se alerta de que el ordenador está infectado o páginas de compra de falsos antivirus.

LivePcCare crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  Live PC Care = C:\Documents and Settings\All Users\Datos de programa\d0daa65\LPd0da.exe /s /d
  Mediante esta entrada, LivePcCare consigue ejecutarse cada vez que Windows se inicia.

Además, crea numerosas entradas en el Registro de Windows que apuntan a archivos correspondientes principalmente a programas antivirus para impedir que se puedan ejecutar y así dejar el ordenador desprotegido.

Método de Propagación 

LivePcCare utiliza técnicas BlackHat SEO para infectar al mayor número de ordenadores posible. Cuando el usuario busca a través de Google temas relacionados con el Nexus One (teléfono móvil de Google), el terremoto de Haití o la supuesta muerte del actor Johnny Depp, entre otros, en los primeros resultados aparecen ciertos enlaces que aparentemente apuntan a páginas legítimas. Sin embargo, cuando el usuario pulsa alguno de estos enlaces, es redirigido a una página que realiza un análisis del sistema y que informa al usuario que su ordenador está infectado.

La siguiente imagen (pincha sobre ella para ampliar) es un ejemplo de resultados maliciosos que se muestran cuando el usuario realiza ciertas búsquedas:

Nota: SEO son las siglas en inglés de Search Engine Optimization (optimización para motores de búsqueda), y básicamente se refiere a las técnicas utilizadas para conseguir que las páginas web mejoren su posicionamiento en los resultados de los motores de búsqueda (Yahoo, Google, etc). BlackHat SEO se refiere al uso que los ciberdelincuentes hacen de las técnicas SEO para conseguir que sus páginas aparezcan en estas primeras posiciones.

Otros Detalles  

LivePcCare tiene un tamaño de 246272 Bytes.