Un antivirus gratuito protegiendo un equipo Windows XP, ¿verdad?
No.
En realidad es un programa malicioso – un troyano bancario brasileño
que se disfraza para mantenerse en el sistema. El programa pesa sólo 386
Kb, está escrito en Delphi y se propaga por correo electrónico junto a
otros archivos maliciosos y no maliciosos.
Si la víctima pulsa en el icono de la bandeja del sistema, le aparecerá este mensaje:
Traducción: Espere, su antivirus Avast! Se está actualizando
En algunas combinaciones, también muestra mensajes como este:
Traducción: antivirus Avast!: Atención, su sistema está protegido
¿Por
qué utilizan los cibercriminales este método para “esconder” su malware
en el sistema? Google trends muestra que Avast es el antivirus más
popular en Brasil. Y mi experiencia en Latinoamérica demuestra que la
gente todavía no quiere pagar por algo que puede conseguir gratis.
Antes
de descargar el producto Avast falso, otro módulo, basado en el
producto anti-rootkits Avenger, trata de eliminar los siguientes
productos antivirus del sistema, si es que están instalados: AVG,
McAfee, Panda, Nod32, Kaspersky, Bitdefender, Norton, Microsoft Security
Essentials, PSafe, Avira y Avast.
Se usan muchos archivos maliciosos en la misma campaña. Tienen tareas diferentes y Kaspersky Anti-Virus los detecta como
Trojan.Win32.Delf.ddir,
Trojan.Win32.ChePro.aov, Trojan.Win32.ChePro.anv,
Trojan-Banker.Win32.Delf.apg, not-a-virus:RiskTool.Win32.Deleter.i,
Trojan-Banker.Win32.Agent.jst y Trojan.Win32.Delf.ddiq.
Parece que
los cibercriminales brasileños piensan: “¿Para qué combatir las
detecciones de antivirus? A veces es muy complicado. Mejor
reemplacémoslas con nuestras propias soluciones falsas y todos salimos
ganando”.
Por último, también es importante explicar que, además
del malware relacionado con las campañas mencionadas, podemos ver más y
más troyanos bancarios de Brasil que vienen con descripciones falsas,
fingiendo ser módulos de diferentes productos antivirus. Por ejemplo:
No hay comentarios:
Publicar un comentario