Publicado por Javier Guerrero,聽 3 de noviembre de 2010

Mucha gente piensa que, cuando las empresas fabricantes de antivirus hablan de las abundantes amenazas planteadas por el malware, exageran sobre la magnitud de las mismas, con la intenci贸n de vender su software. O dicho de otra forma, meten miedo a los usuarios para que compren sus productos. Por eso, cuando escribo art铆culos sobre malware, me gusta hacer referencia a experiencias de primera mano, como la que voy a comentar en este post.

Hace un tiempo me llam贸 por tel茅fono un amigo, muy preocupado porque en su PC le aparec铆a una ventana de notificaci贸n inform谩ndole de que hab铆a sido infectado por malware, m谩s concretamente por 42 ejemplares de todo tipo: virus, troyanos, spyware, adware, etc. Era algo chocante, ya que su soluci贸n antimalware habitual s贸lo hab铆a detectado un par de amenazas, que te贸ricamente hab铆a eliminado; adem谩s, dichas notificaciones no formaban parte de su antivirus, y tampoco le permit铆an eliminar la infecci贸n.

Puesto que era posible que su Antivirus no estuviese actualizado, le suger铆 que buscase una 鈥渟egunda opini贸n鈥, mediante el uso de nuestro analizador gratuito online Panda ActiveScan.

Sin embargo, mi amigo no consigui贸 instalar el m贸dulo de an谩lisis de ActiveScan, ni con Internet Explorer ni con Firefox; algo lo estaba impidiendo. De hecho, cualquier uso del PC se hab铆a hecho impracticable, con lo cual tampoco pod铆a navegar, instalar o desinstalar aplicaciones. En la pr谩ctica, su ordenador parec铆a estar secuestrado por esta aplicaci贸n.

Mis sospechas sobre lo que pod铆a estar pasando se confirmaron cuando (en la pertinente visita a su domicilio) pude ver en persona la ventana en cuesti贸n. Pertenec铆a a un supuesto producto de seguridad, llamado 鈥淧ersonal Security鈥.

Sin embargo, los problemas que he comentado antes hac铆an dudar de la legitimidad de este software. Adem谩s y por si fuera poco, mi amigo estaba seguro de no haberlo instalado, o al menos no de la forma habitual en que instalamos programas en Windows. Y tambi茅n era muy sospechoso que su antivirus habitual no hubiese detectado tal cantidad de malware como el mostrado en dicha ventana.

La conclusi贸n estaba clara: se trataba de un Fake o Rogue AV: un falso antivirus.

驴Qu茅 es un ROGUE AV o falso antivirus?

Es una aplicaci贸n maliciosa que, simulando ser la versi贸n de evaluaci贸n de un antivirus comercial, trata de enga帽ar al usuario haci茅ndole creer que su PC ha sido infectado por diversos ejemplares de malware.

驴Con qu茅 intenci贸n?

Econ贸mica, por supuesto. Este tipo de intrusos enga帽an al usuario haci茅ndole creer que poseen una versi贸n de pruebas, y le fuerzan a adquirir una hipot茅tica 鈥渧ersi贸n completa鈥 de la aplicaci贸n, si quieren eliminar del sistema esa supuesta infecci贸n. Mucha gente accede a ello, bien por desconocimiento, o bien como una manera de recuperar el uso normal de su ordenador.

El Rogue del que hablamos hoy incluye un formulario en el que piden los datos personales y bancarios de la v铆ctima.

Hay que decir que este tipo de malware est谩 muy extendido, entre otras cosas porque consigue enga帽ar a mucha gente, ya que su interfaz gr谩fico (ventanas, botones, etc.) suele presentar un aspecto totalmente profesional.

Por ejemplo, este Rogue muestra una ventana de aviso muy parecida al Centro de Seguridad de Windows:

驴C贸mo evitarlos?

El aspecto cuidado y profesional del que hacen gala muchos de estos intrusos les hace particularmente peligrosos, ya que pueden enga帽ar a cualquier usuario poco avezado en este campo de la seguridad inform谩tica.

Y aunque los consejos que habitualmente damos (usar un buen antivirus actualizado, no descargar programas desconocidos, cuidado con las unidades USB, etc.) son igual de v谩lidos, es importante prestar especial atenci贸n a las p谩ginas web que visitamos.

Efectivamente, uno de los medios m谩s empleados para propagar estos antivirus Fake es el conocido como 鈥Blackhat SEO鈥 (hablaremos de 茅l en un pr贸ximo post), con el que consiguen influir en los resultados de las b煤squedas web, a帽adiendo enlaces a p谩ginas web maliciosas usadas para infectar. Estas p谩ginas web causan estos avisos de infecci贸n, instando al usuario a hacer clic en un bot贸n para descargar o instalar el producto.

Bajo ning煤n concepto se debe hacer clic en ninguna parte de la ventana mostrada, ya que eso consumar谩 la instalaci贸n; en esos casos, se puede intentar cerrar todas las ventanas mediante la combinaci贸n de teclas ALT-F4, aunque es muy posible que ya hayamos sido infectados por el intruso.

Bueno y, 驴qu茅 paso con mi amigo?

Pues finalmente pudimos resolver el problema arrancando su PC en modo seguro y eliminando manualmente todos los archivos y claves de registro pertenecientes al falso antivirus. Claro que esa informaci贸n tuvo que ser obtenida mediante otro ordenador, ya que como hemos comentado, el suyo estaba totalmente secuestrado por el intruso.

Para terminar este post, me gustar铆a responder a la cuesti贸n planteada al comienzo del mismo: s铆, la amenaza del malware es real. Y no, no la exageramos lo m谩s m铆nimo.

================================================================================

Javier Guerrero trabaja en Panda Security como especialista t茅cnico y analista/programador, y desde su incorporaci贸n en 1998 ha participado en un buen n煤mero de proyectos de la compa帽铆a, casi siempre en las capas de tecnolog铆a kernel: el primer Panda Platinum, Panda Security y Panda Security for Networks, pasando por tecnolog铆as como Firewall, TruPrevent, Residente de ficheros, Escudo y la capa de Interceptaci贸n de Cloud AV. Actualmente pertenece a la Unidad de Interceptaci贸n y es responsable de los interceptores de archivos y procesos de Panda Cloud Antivirus.