Keygen, cracks y warez con malware

Uno de los casos típicos que diariamente ocurren y de los cuales muchos usuarios desprevenidos terminan siendo víctimas de alguna infección, es a través de la descarga de archivos, por lo general, programas tipo keygen, warez y crack. El siguiente caso, encontrado recientemente por nuestro Laboratorio, refleja una de las técnicas más antiguas utilizadas por las personas que propagan malware para atraer la atención de las personas.

Cuando un usuario procede a la búsqueda de programas con la intención de obviar el licenciamiento del mismo, recurre a sitios web donde se ofrecen infinidad de aplicaciones junto a otro archivo (parche o crack) para dejarlo, en teoría, completamente funcional. Veamos un ejemplo:


Aquí se genera un problema importante para el usuario desprevenido, ya que el archivo que se descarga no es lo que aparenta ser y el usuario deja de estar protegido además de incurrir en la piratería.

Cuando se procede a la descarga del archivo, se presenta una ventana similar al de la captura. Quienes lo ejecuten serán víctimas de una infección, provocada por un troyano del tipo downloader identificado por ESET NOD32 como Win32/TrojanDownloader.Zlob.COJ.

Otro caso similar sucede con la descarga de herramientas falsas de seguridad como los rogue, los  blogs con programas falsos o como en este caso, un sitio web que promociona ESET NOD32 para descarga gratuita:


Por eso resulta sumamente importante observar bien desde donde se realizan las descargas y, como ya saben, nuestro antivirus completamente funcional puede descargarse desde nuestro sitio web en la sección de descarga de ESET NOD32.

Jorge

Autor , ESET

  • Pingback: Keygen, cracks y warez con malware: Bits de antivirus()

  • Javier

    Mi pregunta es la siguiente: ¿Cómo podemos saber si realmente se trata de un programa dañino o simplemente el antivirus lo detecta como tal por tratarse de un keygen, crack, o similar? Mi duda es que si un keygen puede afectar al bolsillo de un o varios ejecutivos con alto poder, ¿por qué no hacer que su antivirus que vende tan preciosamente lo detecte como malware? Sería una bonita manera de cubrirse las espaldas, y evitar que pirateen su software, alertando al usuario de una falsa infección. O tal vez estamos ante un caso verídico de virus, troyano, o similares. ¿Por qué los antivirus no se quedan donde están, en proteger al usuario y velar por su seguridad? En lugar de ponerse a perseguir a programas de pirateo, que por muy ilegales que sean, no les compete a ellos detectarlos ni eliminarlos. Muchas gracias.

  • Hola Javier:

    Los AV detectan (o al menos en ESET intentamos hacer eso) programas dañinos ya que esa es su labor. Nadie está persiguiendo nada (excepto a los delincuentes y al malware) sino que advertimos que esos programas que tu llamas “programas de pirateo” pueden contener software dañino que afectará tu sistema y tu privacidad. Esos programas serán detectados por el AV porque, repito, esa es nuestra tarea.
    Parece que confundes las intenciones de estas personas pensando que desarrollan sus programas para hacer un bien a la comunidad. En cambio tienen un solo objetivo: hacer dinero contigo.
    Recuerda que las personas que desarrollan cracks, warez, etc. son las mismas (o pueden ser las mismas) que las que desarrollan malware. El costo de darte un programa “gratis” es instalarte un troyano en el sistema.

    Cristian

  • Maria de la O

    Cristian, como bien tu sabes, los antivirus (salvo alguno) no detectan cadenas de codigo para detectar los virus, sino que lo hacen por heuristica o busqueda de firmas legitimas en los archivos ejecutables. Todos los “fabricantes” de software envian sus archivos a las casas antivirus para que los “legitimen”. Pues bien, si un programador independiente produce un archivo (como es el caso de los keygen o los patch) simplemente si se ejecuta un pack, el antivirus lo detectará como un virus o posible virus, aunque no lo sea. Ello es porque si un antivirus siguiera las pautas “tradicionales” de deteccion necesitariamos dos procesadores, uno para ejecutar el antivirus y otro para los programas.
    No todo lo que se reconoce como virus lo es, aunque muchos patch y keygen contienen troyanos.

    Saludos

  • Hola Maria de la O :
    En realidad no es necesario que ningún fabricante envíe sus archivos a las casas antivirus para que los agreguen a listas blancas (whitelisting), simplemente porque las mismas no se utilizan.
    Los AV agregan malware a sus bases de datos (firmas, heurística, comportamiento, etc.) y detectan un archivo cuando puede probar que el mismo es dañino, en caso contrario no hay nada para agregar.
    En caso contrario cada vez que desarrollaramos un programa determinado (los programadores lo hacemos todo el tiempo) el mismo sería detectado por no estar “legitimado” como tu dices.
    Otra cosa importante a destacar es que no todos los cracks, warez, etc. son detectados como malware y eso lo sabe cualquiera que haya descargado alguno. Lo que intentamos explicar y que tu señalas muy bien el final es que existen este tipo de programas que incorporan o agregan código dañino y eso es lo que detectará el AV.

    Cristian

  • David

    Hola, coincido con el comentario de Javier, muchos antivirus (sin hablar en particular de Nod32) detectan “falsos troyanos” y digo falsos porque tengo esto plenamente probado, les doy un ejemplo simple: en la empresa donde trabajo, el responsable de los discos originales que es una persona administrativa y NO de sistemas tiene los originales del software BAJO LLAVE. En un fin de semana tuve que reinstalar la computadora que uso en mi trabajo y obviamente no se encontraba el responsable del software por ser días inábiles y olvidé pedirle los discos un día antes. Entonces por la urgencia de utilizar el software con el que trabajo el mismo día sábado tuve que instalar mi aplicación con un duplicado del CD y usando un “keygen”; obviamente el antivirus que utilizo lo detectó como un “Troyano”. Lo que hice fue desactivar temporalmente el escaneo en tiempo real y procedí a generar mi número de serie. DESPUES de eso realicé un escaneo total de memoria y del disco duro y NO se encontró infección alguna (y esto lo hice con 2 antivirus diferentes). Obviamente indagando en los buscadores me topé con que efectivamente los antivirus actuales devuelven falsas alarmas al usuario con el fin de evitar la piratería, pero en mi caso, sabiendo que al lunes siguiente podría reinstalar mi aplicación introduciendo un número de serie legítimo ¿entonces estoy haciendo “piratería”? creo que NINGUN antivirus debe limitarme en casos extremos de urgencia como estos, ya que NO estoy pirateando nada. Espero entiendan mi opinión. Saludos.

  • julio

    como es posible entonces reconocer si lo que estoy descargando es un toyano o no. ¿cuando debo confiar en el antivirus?

    • Hola Julio:

      La respuesta es sencilla. Alta tasa de los cracks, warez y demás son troyanos o están infectados entonces, no los descargues.

      Cristian

  • Susana Díez

    Hola a todos:hasta hace un rato estaba muy contenta porque ayer encontré un sitio para descargar películas gratis (descargué dos). Además de contenta estaba tranquila porque antes de abrir los archivos de las películas los analicé con el antivirus que uso y este no detectó ninguna infección. No niego que me pregunté muchas veces por qué una “empresa” me daría algo gratis siendo que el objetivo de las empresas es vender. Acabo de leer aquí que en este caso obtienen sus ganancias propagando infecciones para después vender sus “medicamentos” pero eso es tan desagradable que me cuesta creerlo. También ayer bajé el documental “Zeitgeist-The Movie” de Internet Explorer y en ese caso no se me planteó ninguna duda. ¿Ustedes creen que hice mal en bajar ese material? Y en caso afirmativo, ¿cuál es el riesgo si el antivirus con el que lo analicé antes de abrirlo no detectó ninguna amenaza? Sería muy triste no poder bajar más películas. Espero vuestra respuesta. Saludos y gracias.

    PD:SI LLEVAMOS LAS COSAS HASTA SUS ÚLTIMAS CONSECUENCIAS ¿CÓMO SÉ QUE PUEDO CONFIAR EN USTEDES?

    • Hola Susana,

      Nuestro objetivo con el blog es alertar a los usuarios de las amenazas existentes para que estos puedan hacer uso de los recursos informáticos con el debido cuidado. No es nuestro interés generar paranoia y lamentamos si esto no queda claro en el post.

      En tu caso particular de la descarga de películas, se mantiene el mismo consejo que damos en el post: es “importante observar bien desde donde se realizan las descargas”. Eso no quiere decir que no se deba descargar nada. Pero es para la seguridad del usuario, prestar atención de dónde se está descargando ya que existen (y por eso lo difundimos) personas malintencionadas aprovechando las descargar para propagar malware.

      Respecto a la confianza, nosotros siempre mencionamos que es importante conocer la reputación del sitio web. En el caso de este blog, vos sabés que atrás de él hay una empresa, reconocida, que se hace cargo de los contenidos. Lo mismo ocurre con una gran cantidad de sitios web y empresas y organizaciones que tienen sus contenidos. Es importante saber quién es el que me está ofreciendo los contenidos. Una vez que se procede con la descarga, es correcta tu apreciación de pasar el antivirus para chequear el archivo descargado.

      Sebastián

  • christian

    Hola , y como hacen para detectar troyanos encriptados…

    K! cryptor y Poyson Ivy …… los indetectables

    Como hacen para detectarlos ……y ni pensar eliminarlos

    Aparte estan hechos para ser indetectables por antivirus

    ( Nod32,kaspersky,avast,avg,antivir,etc…)

    ———————————————————————————

    Yo pregunto que va a pasar con linterna magica y sus variantes?
    ya que el FBI lo va a utilizar para el terrorismo …
    Mcafee y Symanteq parese que se unieron para no detectarlo….
    El FBI va a destruir un gran numero de computadoras???

  • MMM:::

    un malware dizfrasado de keygen que es para crear malware
    ¿Como se llama?

Síguenos