Os rogues são ameaças virtuais cuja finalidade é assustar o usuário, simulando falsas detecções de códigos maliciosos. Desta maneira, os criminosos amedrontam a vítima para que adquira uma licença que, supostamente, irá limpar seu computador. Mas o que acontece se uma pessoa, em uma tentativa desesperada, cai no golpe e acaba comprando uma licença?

É evidente que fazer isso não contribui somente para que os cibercriminosos continuem desenvolvendo esse tipo de ameaça, como também abre a possibilidade para que as informações fornecidas pelo usuário, como o número de seu cartão de crédito, sejam utilizadas com fins escusos. Para realizar este procedimento, utilizamos um rogue batizado por seus autores como Windows Custom Management, e que foi detectado de forma proativa pelo ESET NOD32 Antivirus como uma variante do Win32/Adware.WintionalityChecker.AF. Como na maioria dos casos desse tipo, o WintionalityChecker simula a detecção de códigos maliciosos, e alerta o usuário que certos aplicativos estão infectados, recomendando que compre o “produto” para realizar a remoção da ameaça.

Como você pode observar na tela acima, esta ameaça mostra quatro detecções falsas. Se o usuário inserir qualquer número de série, o rogue rejeita a licença:


Para poder determinar números de licença válidos, fizemos uma análise estática para evitar contribuir com este negócio ilícito. Desse modo, encontramos uma licença que funcionava:

Após clicar no botão “Registro”, a interface gráfica da ameaça muda para passar a ideia de que o usuário está supostamente protegido. Após essa etapa, é informado à vítima que as quatro ameaças anteriormente detectadas foram removidas satisfatoriamente do sistema. Para que essa ação pareça legítima, as detecções falsas são eliminadas lentamente e de forma individual. Por outro lado, todas as mensagens invasivas que alertavam o usuário sobre programas “infectados” são omitidas assim que a pessoa adquire a licença e cai na fraude.

Portanto, pudemos concluir que a única coisa que ocorre quando se adquire uma licença de um rogue são falsas animações que aparecem na tela e que buscam enganar o usuário para tranquiliza-lo sobre o estado de seu sistema. Como todas essas detecções são falsas, a remoção obviamente é uma montagem visual, e em caso algum é removido algum código malicioso. Contar com uma solução de segurança antivírus com capacidade de detecção proativa ajuda a evitar este tipo de malware e outras ameaças virtuais. Em casos de rogues mais persistentes cuja eliminação é difícil, recomendamos utilizar o ESET Rogue Applications Remover para sua remoção completa do sistema.

André Goujon
Especialista de Awareness & Research