Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 5 de marzo de 2009

Estrategia de infección agresiva de XP Police Antivirus

Luego de comentar sobre la campaña de Ingeniería Social visual empleada por el scareware XP Police Antivirus, nos encontramos con un condimento extra que también intenta explotar de lleno la Ingeniería Social en las características naturales del factor humano.

El mismo dominio desde donde se descarga del binario install.exe es empleado para diseminar otro troyano, a través de una falsa página de PornTube; codec.exe (MD5: a90e8a945f5cce31db00cac14a26418c), también perteneciente a la familia de XP Police Antivirus.

Al infectar el equipo, el troyano deja accesos directos en el escritorio del usuario que hacen referencia a los siguientes sitios web que se diseminan por spam:

Cheap Pharmacy Online >> http://www.quality-rx .com/?fid=1056
Cheap Software >> http://allisoftware .com
VIP Casino >> http://affiliate.goldvipclub .com/remote/SmartDownload.asp?affid=760
MP3 Download >> http://www. mp3sale .ru/?pid=507
SMS TRAP >> http://www.smstraper .com/go/MTEzOjA=/
Search Online >>http://www.adultwebfind .com/search .php?aid=16851&keyword=sex

Al acceder al acceso directo de VIP Casino se descarga el ejecutable SmartDownload.exe (MD5: 0f47f132f9e3d2790a6b27ffc2c502b0), y MP3 Download accede directamente al dominio http://xp-police-09 .com/lands/error/ desde donde se despliega una nueva estrategia de engaño simulando un error.

Al cabo de unos segundos, el usuario comenzará a experimentar el despliegue de ventanas emergentes con alertas sobre supuestas infecciones y solicitudes de registro del falso programa.

Sin embargo, hasta esta instancia, las acciones pueden ser vistas por la víctima, pero, en segundo plano siguen sucediendo otras acciones que involucran directamente la descarga de los componentes del scareware XP Police Antivirus.

# pistus

Ver más