En las últimas horas hemos encontrado numerosos casos de videos falsos del ataque que sufrió el Papa Benedicto XVI por parte de una mujer. Si el usuario realiza una búsqueda determinada, encontrará en las primeras posiciones de (cualquier) buscador supuestos videos que conducen al usuario a la descarga de rogue (falsos antivirus).
Si el usuario hace clic en los enlaces ofrecidos, será dirigido a un dominio desde donde se descarga un malware que ESET NOD32 detecta proactivamente como variantes del troyano Win32/Kryptik.BNZ. En caso de no contar con una protección proactiva, el sistema se infectará.
Este antivirus falso denominado Internet Security 2010 posteriormente descarga otros programas dañinos al sistema entre las que se encuentra:
- Agrega en el registro una llamada a su propio instalador en el directorio C:WindowsSystem32nombre_aleatorio.exe (es el mismo archivo descargado la primera vez).
- Agrega en el registro y en la ruta C:Documents and SettingsAll UsersDatos de programanúmero_aleatorio un archivo ejecutable con nombre también aleatorio. En este caso se trata del adware Win32/Adware.SecurityTool.AA, el mismo propagado en el caso de Berlusconi.
- Instala un otro adware reconocido como Win32/Adware.AdvancedVirusRemover.B en los archivos temporales de Internet.
- Cuando se abre el navegador descarga una variante del troyano Win32/Daonol y también lo aloja en los archivos temporales de Internet. Este troyano monitorea el tráfico de Internet, roba credenciales de acceso y desactiva herramientas del sistema (administrador de tareas, registro, etc).
- Se instala como rootkit (otra variante Win32/Daonol) de a través de un archivo alojado en C:Documents and SettingsNombre_UsuarioConfiguración localTempnombre_aleatorio.tmp. Este programa se instala como driver en el sistema y puede ser el causante de numerosos pantallazos azules.
Luego de cada reinicio, intenta asustar al usuario mostrando el siguiente mensaje y comienza una exploración falsa del sistema:
Si su sistema se ha infectado con estas amenazas, puede utilizar ESET NOD32 para eliminarlas, como se puede ver a continuación:
La técnica de engaño utilizada para la infección es la misma que en el caso del video de Berlusconi y puede verse completo en el video de BlackHat SEO preparado por ESET Latinoamérica por ese motivo.
Cristian Borghello
Director de Educación