FAKEALERTS , ROGUES, y ahora RANSOMWARES: Falsos antivirus secuestran e inutilizan el PC, como el Total Security 2009

 El negocio de la venta fraudulenta de falsos antivirus evoluciona desde el llamado Rogueware a modelos basados en el secuestro de la información o comúnmente conocido como ransomware.

Diario Ti: PandaLabs ha identificado una tendencia mucho más agresiva de venta de los llamados falsos antivirus o rogueware. Hasta ahora, cuando un PC era afectado por un malware de estas características, se limitaba a enseñar mensajes de alerta de infección invitando al usuario a comprar. Ahora, están combinando estas tecnologías con el secuestro –literal- del computador y su inutilización, lo que se conocía hasta la fecha como ransomware. 
 

Una vez infectado el computador, la víctima experimenta una gran frustración al ver cómo al intentar ejecutar cualquier programa, abrir un documento, etc., el computador no responde y sólo aparece un mensaje informando al usuario (falsamente) que todos los archivos están infectados y que la única solución es comprar el falso antivirus.

Esta falsa aplicación, llamada Total Security 2009, la venden por 79,95 €. Además ofrecen servicios de soporte técnico premium por 19.95€ adicionales. Una vez pagado, el usuario recibe un número de serie que, al introducirlo en la aplicación, libera todos los ficheros y ejecutables y deja trabajar y recuperar la información. Dicha falsa aplicación, sin embargo, sigue instalada.

“Este comportamiento del falso antivirus conlleva un doble peligro: por una parte, el usuario es engañado y debe pagar dinero para poder seguir utilizando su computador; por otro, el usuario puede llegar a pensar que se encuentra ante un antivirus real, con lo que dejará su computador sin ninguna protección”, señala Luis Corrons, director técnico de PandaLabs.

“Es muy sencillo infectarse sin saberlo. La mayoría de las ocasiones basta con visitar webs que están hackeadas, y una vez infectado el computador, es tremendamente difícil proceder a su eliminación –señala Luis Corrons-, incluso para personas con cierto conocimiento técnico. Tampoco deja al usuario utilizar herramientas de detección y desinfección de ningún tipo, al impedir la ejecución de todos los programas. Lo único que permite abrir es el navegador de Internet (para pagar la falsa aplicación), por lo que hemos publicado en el blog de PandaLabs los números de serie necesarios para proceder al desbloqueo del computador, si es que ha sido secuestrado. Una vez realizada esta acción, ya se puede instalar un buen software de seguridad y analizar a fondo el PC para asegurarnos que eliminamos todo rastro de este falso antivirus“. 
Fuente

Informacion complementaria al respecto:

contraseñas indicadas para validar el Adware/TotalSecurity2009 (segun blog indicado):

WNDS-TGN15-RFF29-AASDJ-ASD65
WNDS-U94KO-LF4G4-1V8S1-2CRFE
WNDS-6W954-FX65B-41VDF-8G4JI
WNDS-G84H6-S854F-79ZA8-W4ERS
WNDS-TTUYJ-7UO54-G561H-J1D6F
WNDS-A1SDF-6AS4D-RF5RE-79G84
WNDS-A1SDF-RY4E8-7U98D-F1GB2
WNDS-5SRTS-AEHUF-YA54S-D6F35
WNDS-P9685-4H41A-DSW3A-2R64T
WNDS-2AE32-1VFC2-B6894-G67YU
WNDS-4TS8R-D6F5D-4JH8T-U4JK5
WNDS-FGS5D-649RG-4S53D-412SF
WNDS-452S3-ER00F-TSE35-S8FSD
WNDS-SERFH-2642S-F04SD-64FG1
WNDS-F40SA-1ER5H-4FG5D-F8412
WNDS-5D1V2-XB0D5-JT1TY-97DS3
WNDS-4BGY2-JY4KO-IT98Y-7HJ43
WNDS-G8FB6-1V87S-DRT1S-63SRG
WNDS-HFVDR-9844O-U54DA-5TBSC
WNDS-89OF7-7324R-5SAD4-TG68U
WNDS-JUYH3-24GHJ-HGKSH-FKLSD

 
y link de info con capturas de pantalla al respecto:

http://www.pandasecurity.com/homeusers/security-info/212529/information/TotalSecurity2009
Solo añadir que, ademas de este que parece que le preocupa especialente a Panda, hay muchos miles de Fake Alerts ya controlados y que a diario recibimos muestras de nuevas variantes cuyo control vamos implementando en las nuevas versiones diarias del ELISTARA y que, si detectan variantes aun no controladas, la misma utilidad pide muestras, y sino investigamos con los informes del SPROCES, y esto a diario, como ya hemos indicado en otras noticias, mostrando imagenes de los mismos, para que, si se ve un antivirus que no se ha instalado voluntariamente, se pueda obrar en consecuencia.

saludos

ms, 18-10-2009