En los últimos días hemos hallado un caso de malware que utiliza el nombre del popular servicio VirusTotal como medio para engañar e infectar a los usuarios. Se trata de un sitio falso (virus-total.[ELIMINADO]) en el cual se simula que  pueden explorarse archivos y verificar si los mismos se encuentran infectados, lo cual es un comportamiento similar al servicio real:

VT falso

Si se presiona sobre "SCAN" se ingresa a la siguiente página (falsa y muy conocida) en donde se simula la exploración del sistema:

VT falso

Al finalizar, se descarga un archivo ejecutable (con nombres como Security Tool o similares) que en realidad es un rogue detectado por la heurística de ESET NOD32 como una variante de Win32/Kryptik.CRD. Una vez descargado e instalado este programa de seguridad falso luce de la siguiente manera:

AV falso

Por otro lado cuando el usuario intenta "limpiar su sistema", el software le solicitará el registro del mismo con una tarjeta de crédito. En este caso la dirección web también es bloqueada por ESET NOD32.

Nuevamente en este caso los delincuentes se han valido de un servicio sumamente conocido y popular para engañar al usuario, intentando lograr la mayor cantidad de infecciones posibles en un corto tiempo.

Cristian Borghello
Director de Educación