Como ya es costumbre, en este momento se está propagando malware utilizando como pretexto el accidente que sufriera el presidente polaco y su comitiva, en las últimas horas en Rusia.

Si se utiliza cualquier buscador para buscar noticias sobre el hecho, aparecen cientos de sitios propagando malware:

Accidente en Polonia

En este momento la mayoría de los resultados de las búsquedas redirigen al usuario a un dominio en Polonia, de la siguiente forma:

  1. Ejemplo de resultado de la búsqueda: http://[dominio_aleatorio].com/lvlne.php?on=polish%20news%20video
  2. Luego, ese PHP lleva al usuario al dominio polaco donde se aloja el antivirus falso:
    http://hur497.[dominio_en_polonia].pl/in.php?t=cc&d=10-04-2010_x_1023&h=dominio_aleatorio.com

En esta última URL puede verse que se indica la fecha de la campaña (hoy 10/04) y el dominio que originó la visita desde el buscador. Con estos datos los delincuentes pueden saber cuanto deben abonar a sus socios y afiliados de negocio en base a la cantidad de visitas que originaron.

En los resultados obtenidos en la búsqueda (el primero de hace apenas una hora), los dominios que aparecen tapados corresponden a sitios dañinos que, al visitarlos como se indica anteriormente, infectan al usuario con el rogue (falso antivirus) CleanUp Antivirus:

Accidente en Polonia

Luego de esta instalación, el "producto" requiere una registración por la cual hay que pagar y la cual termina siendo más costosa que un antivirus real como ESET NOD32:

Accidente en Polonia

Como siempre en estos casos es preferible mantener actualizadas las herramientas de seguridad y verificar los sitios que se están visitando.

Actualización 11/04/2010: en este momento los resultados en Google siguen activos en las primeras posiciones con la única diferencia de que en algunos pocos de ellos se informa que "el sitio puede dañar el equipo".

Cristian Borghello
Director de Educación