Está en la página 1de 17

Instituto Nacional de Tecnologas de la Comunicacin

INFORME SOBRE FALSOS ANTIVIRUS

MicroAntivirus2009

Noviembre 2008

Instituto Nacional de Tecnologas de la Comunicacin

NDICE
1. 2. DESCRIPCIN BSICA DESCRIPCIN TCNICA 2.1. 2.2. 2.3. 3. 4. Mtodo de infeccin Mtodo de propagacin Mtodo de desinfeccin 3 6 6 6 13 14 15 16 17

CONCLUSIONES INFORMACIN TCNICA ADICIONAL

NDICE DE TABLAS NDICE DE FIGURAS

Informe de anlisis de malware MicroAntivirus2009

Instituto Nacional de Tecnologas de la Comunicacin

1.

DESCRIPCIN BSICA

MicroAntivirus2009
DESCRIPCIN: Malware que se distribuye en forma de falso software antivirus. Una vez instalado, solicita al usuario el registro del software, para lo cual necesita introducir sus datos bancarios en una pgina Web fraudulenta. Tipo de cdigo Fecha anlisis DETECCIN Plataforma test Antivirus 1 Troyano 06/11/2008 Windows XP Service Pack 2 27 / 35 (77,14%) Ver aliases

PROPAGACIN SNTOMAS

MicroAVSetup.exe Fichero implicado Se distribuye como un falso software antivirus. Capacidad de auto-propagacin No Avisos continuos indicando que nuestro sistema se encuentra infectado. El malware crea una serie de ficheros en el directorio C:\Archivos de programa\MicroAV\ Ficheros creados MicroAV0.dat MicroAV.exe Clave Claves del registro Valor ANTIVIRUS = C:\Archivos de programa\MicroAV\MicroAV.exe MicroAV1.dat MicroAV.ooo MicroAV.cpl

EFECTOS

HKCU\Software\Microsoft\Windows\CurrentVer sion\Run\

RECOMENDACIONES PREVENCIN No instalar software de origen y/o fabricante desconocido.

Antivirus: Anlisis realizado con el servicio VirusTotal (http://www.virustotal.com/)

Informe de anlisis de malware MicroAntivirus2009

Instituto Nacional de Tecnologas de la Comunicacin

1. Reiniciar en modo a prueba de fallos. 2. Identificar y eliminar los archivos y entradas del registro creados. C:\Archivos de programa\MicroAV\MicroAVX.dat C:\Archivos de programa\MicroAV\MicroAV.cpl DESINFECCIN Archivos C:\Archivos de programa\MicroAV\MicroAV.exe C:\Archivos de programa\MicroAV\MicroAV.ooo C:\Documents and Settings\USUARIO 2 \Escritorio\Micro Antivirus.lnk Entradas del registro
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ANTIVIRUS

DETALLE DE FICHEROS RELACIONADOS Tipo Anfitrin Nombre MicroAVSetup.exe SHA1 f739023ee5c2b2ca02fa4db1f4f386b0e4d7b18a URLs IMPLICADAS Tipo Web de descarga URL [http://]scanner.[ELIMINADO].com/ ALIASES 06/11/08 Antivirus AntiVir Avast AVG BitDefender ClamAV DrWeb eSafe eTrust-Vet F-Secure Fortinet GData Ikarus Kaspersky McAfee Microsoft NOD32 Norman Alias TR/Fakealert.PX Win32:Neptunia-AGB FakeAlert.BD Dropped:Trojan.FakeAlert.ACZ Adware.Brasen-2 Trojan.Fakealert.1399 Suspicious File Win32/FakeAlert.DM TXT/JunkFakeAlert.C PossibleThreat Dropped:Trojan.FakeAlert.ACZ Generic.Win32.Malware.Antivirus2008 not-a-virus:FraudTool.Win32.UltimateAntivirus.cq FakeAlert-AB Trojan:Win32/FakeSecSen Win32/Adware.Antivirus2008 Antivirus2008.ET.dropper

USUARIO: Nombre del usuario en el sistema operativo

Informe de anlisis de malware MicroAntivirus2009

Instituto Nacional de Tecnologas de la Comunicacin

Panda Prevx1 Rising SecureWeb-Gateway Sophos Sunbelt Symantec TrendMicro ViRobot VirusBuster

Application/MicroAntivirus2009 Fraudulent Security Program Trojan.Win32.FakeAV.bd Trojan.Fakealert.PW Mal/FakeAV-F Trojan.FakeAV.BC AntiVirus2009 TROJ_RENOS.HQ Adware.UltimateAntivirus.R.1052373 FraudTool.FakeAV.K
Tabla 1: Descripcin Bsica.

Informe de anlisis de malware MicroAntivirus2009

Instituto Nacional de Tecnologas de la Comunicacin

2.

DESCRIPCIN TCNICA

El malware se distribuye como un falso software antivirus.

2.1.

Mtodo de infeccin

Ejecutando el binario MicroAVSetup.exe, se instala un malware de nombre Micro Antivirus. Estos son los principales cambios que realiza el malware en el sistema una vez infectado. Archivos generados:
C:\Archivos de programa\MicroAV\MicroAV0.dat C:\Archivos de programa\MicroAV\MicroAV1.dat C:\Archivos de programa\MicroAV\MicroAV.cpl C:\Archivos de programa\MicroAV\MicroAV.exe C:\Archivos de programa\MicroAV\MicroAV.ooo C:\Documents and Settings\USUARIO\Escritorio\Micro Antivirus.lnk

Claves del registro: El malware para mantenerse en el sistema crea la siguiente entrada en el registro: Clave
HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\

Valor
ANTIVIRUS = C:\Archivos de programa\MicroAV\MicroAV.exe

Tabla 2: Claves del registro.

2.2.

Mtodo de propagacin

Se recibe en un popup, mediante un e-mail, mensaje por MSN, etc. en el que se indica una URL desde la cual se puede descargar un antivirus. En una de las muestras encontradas, al conectarse a la Web se realiza un supuesto anlisis online de la mquina e indica que esta infectada por numerosos virus.

Informe de anlisis de malware MicroAntivirus2009

Instituto Nacional de Tecnologas de la Comunicacin

Es destacable que el anlisis da resultados sin importar el sistema operativo que tiene, como se puede observar en la siguiente captura realizada desde una mquina con sistema operativo Linux instalado.

Figura 1: Interfaz Web

Informe de anlisis de malware MicroAntivirus2009

Instituto Nacional de Tecnologas de la Comunicacin

Tras el supuesto anlisis y la deteccin de virus inexistentes en la mquina, se ofrece al usuario la descarga de un falso antivirus para desinfectarse y resolver los problemas detectados. El archivo que se descarga no es un antivirus, sino un malware.

Figura 2: Descarga del Malware

Informe de anlisis de malware MicroAntivirus2009

Instituto Nacional de Tecnologas de la Comunicacin

Tras instalarse el malware en el sistema, se muestra de nuevo un anlisis de la mquina y se solicita el registro del software para poder eliminar los virus.

Figura 3: Interfaz del falso antivirus

Informe de anlisis de malware MicroAntivirus2009

Instituto Nacional de Tecnologas de la Comunicacin

Para realizar la compra del falso antivirus, se redirecciona al usuario a una URL desde el propio antivirus, en esta Web se debe seleccionar la versin a registrar y los datos para hacer el cargo a una cuenta bancaria, a travs de una tarjeta de crdito, dbito, prepago, etc.

Figura 4: Pgina de registro

Informe de anlisis de malware MicroAntivirus2009

10

Instituto Nacional de Tecnologas de la Comunicacin

Entre los campos es importante destacar que se solicita el CVC2, el cual permitira realizar cargos a la tarjeta sin necesidad de que el usuario infectado apruebe dicha operacin.

Figura 5: Solicitud del dato CVC2 en la pgina de registro

Informe de anlisis de malware MicroAntivirus2009

11

Instituto Nacional de Tecnologas de la Comunicacin

Lgicamente la Web donde se realiza el pago es propiedad de los creadores del malware. A continuacin se muestra un extracto de algunas transacciones de una de estas Webs.

Figura 6: Transacciones de la pgina fraudulenta

Como se puede observar por las fechas, es una actividad reciente y muy activa, lo que puede llegar a dar unos beneficios, solamente contabilizando el pago que hace cada usuario, se podra llegar a cifras muy elevadas, cercanas a los 30 millones de euros, teniendo en cuenta que en los dominios estudiados se han localizado ms de 800.000 usuarios infectados.

Informe de anlisis de malware MicroAntivirus2009

12

Instituto Nacional de Tecnologas de la Comunicacin

2.3.

Mtodo de desinfeccin

Los siguientes pasos detallan el procedimiento a seguir para desinfectar el sistema: 1. Terminar el proceso del Malware: Se puede localizar fcilmente el proceso en el Administrador de tareas, tal y como se muestra en la siguiente figura.

Figura 7: Localizacin de procesos relacionados

Una vez localizado el proceso del malware, haciendo clic con el botn derecho del ratn sobre el elemento de la lista y seleccionando la opcin Finalizar Proceso. 2. Eliminar las claves del registro: a. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Valor: ANTIVIRUS = C:\Archivos de programa\MicroAV\MicroAV.exe 3. Eliminar los ficheros: Eliminar los siguientes ficheros, con el mismo nombre del proceso en ejecucin del spyware, ubicados en la carpeta: C:\Archivos de programa\MicroAV\ b. MicroAV0.dat c. MicroAV1.dat d. MicroAV.cpl e. MicroAV.exe f. MicroAV.ooo

Informe de anlisis de malware MicroAntivirus2009

13

Instituto Nacional de Tecnologas de la Comunicacin

3.

CONCLUSIONES

La distribucin de supuestos antivirus o antiespas, como el descrito en este documento, proporciona al estafador una va no slo para hacer que el usuario pague por algo que no hace nada, si no que adems pondr a disposicin del distribuidor de la estafa un acceso al equipo del usuario que podra ser utilizado para infectar el ordenador con un troyano bancario u otro tipo de cdigo malicioso. Adems, a travs de este tipo de engaos, los defraudadores disponen de los datos de la tarjeta de crdito del usuario que podran ser utilizados posteriormente. Destacar tambin cmo, una vez ms, las tcnicas de ingeniera social utilizadas por los estafadores consiguen generar temor en el usuario y consiguen convencerle de que realice determinadas acciones. Como siempre, ante este tipo de amenazas, el sentido comn es el arma ms efectiva.

Informe de anlisis de malware MicroAntivirus2009

14

Instituto Nacional de Tecnologas de la Comunicacin

4.

INFORMACIN TCNICA ADICIONAL

Para llevar a cabo lo descrito en el informe, los creadores del malware, tienen una infraestructura similar al siguiente esquema

Figura 8: Infraestructura

Todos los servidores encontrados tienen certificados de seguridad reales para dar ms confianza al usuario. Adems han implementado sistemas de balanceo de carga. Tambin es importante destacar que el malware descargado tiene nombres de archivo y hashes diferentes en funcin de la va de acceso a la Web. Desde la misma Web se han localizado 4 muestras del mismo malware con hashes diferentes, los cuales realizaban las mismas acciones. Se han hallado algunas muestras que se usan como troyanos bancarios descargando datos de otras Webs, con lo que adems de pagar por un software falso, que resulta ser un malware, el usuario sufrira un robo de credenciales de su servicio de banca on-line.

Informe realizado por el Laboratorio de Anlisis de Malware de INTECO-CERT. Juan Carlos Montes Senra y Francisco Losada Morn

Informe de anlisis de malware MicroAntivirus2009

15

Instituto Nacional de Tecnologas de la Comunicacin

NDICE DE TABLAS
Tabla 1: Descripcin Bsica.....................................................................................................5 Tabla 2: Claves del registro......................................................................................................6

Informe de anlisis de malware MicroAntivirus2009

16

Instituto Nacional de Tecnologas de la Comunicacin

NDICE DE FIGURAS
Figura 1: Interfaz Web..............................................................................................................7 Figura 2: Descarga del Malware ..............................................................................................8 Figura 3: Interfaz del falso antivirus .........................................................................................9 Figura 4: Pgina de registro ...................................................................................................10 Figura 5: Solicitud del dato CVC2 en la pgina de registro....................................................11 Figura 5: Transacciones de la pgina fraudulenta .................................................................12 Figura 7: Localizacin de procesos relacionados ..................................................................13 Figura 8: Infraestructura .........................................................................................................15

Informe de anlisis de malware MicroAntivirus2009

17