Windows XP Recovery rogue

Los creadores de malware constantemente se encuentran trabajando en propagar sus amenazas para obtener grandes cantidades de victimas y así obtener mayores beneficios. Una de las técnicas muy utilizada para la propagación de malware es  la utilización de BlackHat SEO. Esta técnica, se basa en obtener de forma ilegítima un mejor posicionamiento en los resultados en los buscadores, y así aparecer en los primeros lugares. Estas técnicas, sumado a páginas especialmente diseñadas para la explotación de vulnerabilidades en los sistemas de la victimas, logran que el criminal informático propague de manera muy rápida sus amenazas. Este es un ejemplo del siguiente caso de malware del tipo rogue.

Windows XP Recovery es un rogue que fue reportado a nuestros laboratorios por algunos usuarios afectados, los cuales afirmaban que se infectaban mientras navegaban en páginas, relacionadas con el mundo de los juegos en linea. Una vez que la víctima es infectada con este malware, comienza a realizar un supuesto chequeo a todo el hardware de la maquina, el cual es totalmente falso. En la siguiente imagen se puede ver el supuesto escaneo finalizado:

Analizando el código, es posible observar que los distintos mensajes de alerta se encuentran escritos en distintos idiomas y así el criminal puede abarcar mayor cantidad de víctimas. Uno de los puntos más llamativos de este rogue es la utilización del comando Attrib. Este es utilizado para modificar las propiedades de un archivo, en este caso el rogue lo usa para esconder todos los archivos y carpetas de la víctima y así hacer más creíble los supuestos problemas detectados:

Una vez que la victima intenta aplicar la solución ofrecida por el malware, se carga una falsa ventana de Internet Explorer donde se le pide ingresar los datos personales de la víctima y el número de la tarjeta de crédito para el pago. El malware al detectar que nuestra dirección de IP se encuentra en Argentina,pasó el precio a moneda local con un costo de entre $272 a $309 pesos argentinos, casi unos $60 dólares.

Podemos ver que el trabajo del rogue se basa en pequeños trucos pero bastante efectivos para una víctima que desconoce de este tipo de amenazas. Está amenazada es detectada por ESET NOD32 como Win32/Kryptik.NWG Troyano. Continuaremos informándoles sobres estas amenazas en el listado mensual de rogue desde nuestro blog.

Claudio Cortés Cid
Especialista de Awareness & Research

Autor , ESET

Síguenos