La siguiente publicación es una traducción del post Scareware on the Piggy-Back of ACAD/Medre.A escrito por nuestro colega de ESET Estados Unidos Righard Zwienenberg.

Lamentablemente, siempre existen personas que se apropian de algunas hechos en nombre de otros. Luego que ESET descubriera la Operación Medre, desarrollara una herramienta de limpieza y creara una infografía al respecto, existía la opción de que toda la cobertura mediática sobre el código malicioso dirigido a Perú, fuese aprovechado por terceros para obtener algún beneficio. Pese a que en la actualidad ACAD/Medre.A ya fue neutralizado satisfactoriamente del país más afectado, nuestros investigadores encontraron un sitio sospechoso que asegura ayudar a remover este malware del sistema. En el mismo, se afirma lo siguiente en inglés:

Síntomas de infección
Síntomas de infección por ACAD/Medre.A

* Las búsquedas de Google y Yahoo son redirigidas. El fondo de escritorio y la página de inicio del navegador son alteradas. Esos son síntomas comunes de la seria infección que produce ACAD/Medre.A.

* ACAD/Medre.A ralentiza la computadora a tal nivel que usted sentirá que la misma se queda congelada. Esto incluye la apertura de programas, el apagado del equipo y la navegación por Internet.

* Usted observará muchas ventanas emergentes no deseadas. ACAD/Medre.A corrompe el registro de Windows con el fin de mostrar pop-ups publicitarios en cualquier momento.

Si el lector ha tenido la oportunidad de consultar el análisis técnico del gusano ACAD/Medre.A desarrollado por ESET Latinoamérica, sabrá que todas las afirmaciones atribuidas a Medre.A en dicho sitio, ¡son completamente falsas! Además, y con el fin de asustar aún más al usuario, en la página se menciona exageradamente que ACAD/Medre.A es una seria amenaza para el sistema.Qué tan peligrosa es una infección de Medre.A
También es importante aclarar que algunos de los comportamientos descritos posteriormente en este sitio, aunque sí los presentan determinados códigos maliciosos, en este caso específico son absolutamente falsos. Por otro lado, es técnicamente impreciso hablar de una amenaza que contenga troyanos y keyloggers, y que más encima, sea un virus. Asimismo, Medre.A está diseñado para robar proyectos de AutoCAD, pero en ningún momento, información bancaria. Y en tercer lugar, este gusano no es un rogue, es decir, no muestra mensajes ni falsas alertas sobre infecciones inexistentes. Tampoco vuelve a crear archivos eliminados ni tampoco es un spyware.

¿Computador infectado con ACAD/Medre.A?
Una vez que los responsables del sitio han asustado bastante al usuario con falsas aseveraciones, es el turno de llamar a la acción:

Descargar herramienta de limpieza
Antes de analizar qué es lo que descarga el usuario al hacer clic en dicho botón, es importante mencionar que una remoción manual de Medre.A en ningún caso es tan compleja como se asegura. Las entradas de registro que crea este gusano incluso pueden no ser eliminadas y el sistema continuará funcionando. Además, con eliminar el archivo acad.fas es suficiente para remover la infección principal del equipo. En ningún caso este malware crea archivos bloqueados por el sistema, carga procesos en memoria ni se instala como un programa.

Frente a este problema tan "grave", se aconseja lo siguiente:

¿Cómo remover Medre.A del sistema?
De todos esos consejos inútiles para esta infección, el único que podría servir es aquel en donde se menciona que se debe buscar y eliminar los archivos relacionados a Medre.A. En conjunto con esos procedimientos, se insta al usuario a descargar Spyware Doctor de PC Tools. Destacamos que en dicho sitio hasta se incluyen algunas capturas de cómo descargar este software.

Instrucciones para Spyware Doctor

Sin embargo, en ningún caso se descarga ni instala Spyware Doctor, solución de seguridad completamente genuina desarrollada por la empresa PC Tools. Lo que sí se descarga (e instala si el usuario así lo decide) son tres “herramientas” distintas.

Tres herramientas
El fichero “FixNCR.reg” es un archivo de configuración del registro de Windows que elimina entradas típicamente asociadas a códigos maliciosos. No obstante, ACAD/Medre.A no utiliza ninguna de las que borra ese archivo. Las únicas cuatro entradas utilizadas por esta amenaza y que por lo demás no representan ningún riesgo para el sistema, son dejadas intactas. Se debe considerar que de acuerdo a toda la publicidad expuesta en este sitio, un usuario engañado esperaría que “FixNCR.reg” eliminara esas entradas también.

La segunda herramienta descargada –“SpyHunter-Installer.exe” –, instala SpyHunter4 de la empresa Enigma Software Group (ESG). Se trata de un programa legítimo que tiene un solo problema en todo este contexto: de acuerdo a pruebas realizadas por nuestros laboratorios, no detecta ni elimina ACAD/Medre.A de un sistema infectado.

SpyHunter4 no detecta ACAD/Medre.A
Aunque desde ESET hacemos nuestro mejor esfuerzo por detectar todo el malware posible, no existe ninguna solución que detecte la totalidad de amenazas existentes. Sin embargo, si el sitio asegura que dicho software elimina Medre.A, entonces es dudoso por no decir más, que se haga una falsa aseveración como esta. Es importante destacar que esta afirmación la hace los responsables del sitio y no ESG.

El tercer programa que se descarga es “SpeedyPC Pro Installer.exe”, el que tras su primera ejecución, encontró 63 problemas que requieren de atención. No está mal para una imagen de un sistema completamente parcheado que solo está infectado con Medre.A. Lo que sí lo está es que este software, ofrecido como solución a ACAD/Medre.A, tampoco elimina este gusano del sistema como se muestra a continuación:

SpeedyPC tampoco detecta Medre.A
Lo que nos pareció irónico es que en la sección de archivos basura (Junk Files), se listan los registros y archivos pertenecientes a SpyHunter4. Un usuario esperaría que si todas estas herramientas son ofrecidas como un conjunto, interactúen adecuadamente y no llame una a la otra de “basura”.

SpeedyPC cataloga SpyHunter4 de basura

Como es de esperar, cualquier problema encontrado que se quiera solucionar con SpyHunter4 o SpeedyPC requiere de un pago previo. Como no se cumple con lo ofrecido, no adquiriremos ninguno de estos programas. No obstante, este sitio nos ofrece reiteradamente que podemos conversar con expertos las 24 horas y 7 días de la semana para solucionar problemas. Como no pudimos desinfectar nuestra computadora de ACAD/Medre.A como nos promete este sitio, intentaremos contactar a estos expertos. Nuevamente el mensaje que se le da al usuario es poco claro. Pese a que se ofrece atención todos los días, durante el fin de semana pudimos observar que no había nadie disponible para atender nuestro requerimiento.

Finalmente, logramos contactarnos con un representante llamado "James". Aparte de intentar cobrarnos USD $119 por remover todo tipo de códigos maliciosos durante un año (los productos de ESET hacen esto sin cargos adicionales), se notó que ni siquiera conocían el sitio del cual le hablábamos. Cuando le preguntamos sobre este, hubo una larga pausa antes de la respuesta."Soporte técnico 24-7" Lo más probable es que esta interrogante haya provocado que los sacáramos del discurso tipo que deben tener ensayado para "asistir" a las personas, teniendo primero que visitar la página para poder darnos alguna clase de respuesta.

La conversación se puso interesante cuando le preguntamos a James de dónde habían obtenido la información técnica de Medre.A. Ante esto nos respondieron que ellos carecen de datos técnicos porque "simplemente ayudan a los clientes a través de una plataforma de chat". ¿Cómo puede ayudarnos alguien que desconoce y no tiene disponible información técnica?

Durante toda la charla nos insistieron en que adquiriéramos el servicio de desinfección. Luego, les comentamos quiénes somos y que toda la información que nos brindaban era falsa. Tras esto nos agradecieron y dijeron que enviarían todos los antecedentes a un superior. A continuación les comentamos que para remover ACAD/Medre.A no es necesario ser ingeniero nuclear ni nada similar, que solo basta con remover los archivos .fas del sistema infectado. Existen algunas entradas de registro que eliminar pero son pocas. Lo único que recibimos como respuesta fue un contundente "¡Okay!". No pudimos determinar fehacientemente si esta asistencia vía chat es genuina, sin embargo, parece que no tienen idea de lo que hablan.

Traducido y adaptado por André Goujon.
Especialista de Awareness & Research