Nuevo FAKE ALERT o Rogue como antivirus ALPHA

Recientemente, se analizaron muestras de un nuevo falso antivirus que se denomina antivirus Alpha. Este programa utiliza los siguientes nombres de archivo: alphaav.exe y msnaoladdon.dll.

Alfa antivirus es una nueva variante de FakeAlert avanzado, de la familia de personal antivirus no fiables. Como muchos de los FakeAlert malware, Alpha Antivirus emerge en la pantalla al acceder a paginas maliciosas de sitios Web no seguros. Estas páginas web imitan una pantalla del Explorador de Windows y un cuadro de diálogo con una alerta de seguridad de Windows y simulan estar analizando ONLINE, falsamente, un análisis del sistema afectado.

Los siguientes dominios alojan  páginas web falsas de análisis en línea y el ejecutable principal de Alpha Antivirus:

•mycompinfo17.com
•internetantivirusproscanner.com
•mycomputeronlinescan11.com
•internetsecurityscan.com
•mycompscanner07.com
•mycompscanner42.com
•internetantivirusproscan.com
•windowsdefenderupdate5.com
•securitybugfixupdate6.com

El software solicita al usuario instalar el antivirus  Alpha. Una vez ejecutado, se inicia el análisis con falsos informes de múltiples infecciones:

También muestra advertencias emergentes falsas en la barra de tareas de Windows.

Esta variante crea una copia de sí mismo como un componente de msnaoladdon.dll y %ProgramFiles%\AlphaAV\AlphaAV.exe en la carpeta System de Windows y el archivo DLL se instala como un objeto browser helper.

(Archivos de programa % se refiere a la carpeta de programas, por ejemplo, C:\Archivos de programa.)

AlphaAV.exe se detecta como FakeAlert-DI, mientras que se detecta msnaoladdon.dll como FakeAlert-Ecualizar.

Con frecuencia, vemos cambios en las marcas del AV, de sus nombres de archivo y GUI utilizados por los mismos programas antivirus falsos. Como que continuamente los proveedores de seguridad y los investigadores publicamos las conclusiones acerca de los programas antivirus nuevos no fiables, los autores de malwares intentan volver a compilar sus “productos” con nuevas marcas y nombres de archivo y usan más ofuscación y cifrado en sus archivos en un intento para evitar ser reconocidos por los usuarios y en algunos casos evadir la detección por los proveedores de seguridad.

Algunos nombres de conocidas  marca AV y los cambios de nombre de archivo:

1. En pav.exe + winexplorer.dll a personalav.exe + msxmlm.dll. (Antivirus personales) y otra vez a alphaav.exe + msnaoladdon.dll (Alpha Antivirus)

2. Desde frmwrk32.exe a winupdate.exe (antivirus XP/Pro)

3. A partir del pcdef.exe + mousehook.dll + ntdll64.dll (WinPC Defender) a winav.exe + ieocx.dll + iehostcx32.dll (WinPC Antivirus)

4. De Spyware Protection 2009 al sistema Antivirus Pro

Como recordatorio a todos los usuarios: Evite visitar sitios Web que no son de confianza, instalar productos anti-malware sólo de fuentes de confianza y legítimas y actualice periódicamente los archivos DAT de su antivirus.
Fuente

Comentario: Es una autentica plaga, a diario recibimos cientos de muestras de mas y mas FAKE ALERTS … !!!  Mucho cuidado con ello.

saludos

ms, 2-10-2009