Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 7 de junio de 2009

Scareware. Repositorio de malware In-the-Wild

El sentido de repositorio supone la disponibilidad de cualquier tipo de recurso que necesitemos obtener de manera oportuna, siendo precisamente, el concepto de esta última palabra, la visión de los creadores de códigos maliciosos al idear sus estrategias de diseminación.

En la siguiente captura vemos un repositorio de malware que se encuentran muy activos, alojados en un dominio que a simple vista no posee contenido alguno (es decir, si accedemos la página se ve en blanco).

Sin embargo, en alguna parte posee disponible la descarga de los archivos dañinos, que dicho sea de paso, los nombres de cada archivo simulan muy bien no ser peligrosos.

El malware se encuentra alojado en diferentes carpetas ocultas que podremos acceder si conocemos el nombre de cada una de ellas. De esta manera, los ciberdelincuentes diseminan los archivos a través de cualquier canal (e-mail, IM, páginas web) suministrando la ruta completa que descarga el código malicioso, como por ejemplo: updvms .cn/VSWEEPR/SetupReleaseXP .exe.

Cada una de las carpetas ocultas son referencias de diferentes scareware muy conocidos y muy activos actualmente. Las carpetas y los respectivos scareware que representan son: VSWEEPR (Virus Sweeper), VSHIELD (Virus Shield), VMLT (Virus Melt), VALARM (Virus Alarm Pro), UA2009 (Ultra Antivirus 2009), PRTUP (Presto TuneUp), MCATCH (Malware Catch), FASTAV (Fast Antivirus), EXAVR (Extra Antivir).

Cada una de estas carpetas contiene los mismos archivos:

/ActivatedRelease.exe 20/39 (51.29%)
/ActivatedReleaseXP.exe 24/39 (61.54%)
/ActivatedSetup.exe 22/39 (56.42%)
/ActivatedSetupRelease.cab 17/39 (43.59%)
/ActivatedSetupRelease.exe 18/39 (46.16%)
/ActivatedSetupReleaseXP.cab 21/39 (53.85%)
/ActivatedSetupReleaseXP.exe 21/39 (53.85%)
/Release.exe 19/39 (48.72%)
/ReleaseXP.exe 22/39 (56.42%)
/SetupPack.exe 25/38 (65.79%)
/Setup.exe 14/38 (36.84%)
/Rpdm.exe 21/39 (53.85%)
/Instructions.ini
/SetupRelease.cab 16/38 (42.11%)
/SetupRelease.exe 18/39 (46.16%)
/SetupReleaseXP.cab 19/39 (48.72%)
/SetupReleaseXP.exe 18/39 (46.16%)
/Work.exe 20/38 (52.64%)
/uninstall.exe 23/39 (58.98%)
/update.exe 22/38 (57.9%)
/update.exe 27/38 (71.06%)

El archivo "Instructions.ini" posee la siguiente información:

[Common]
==//==
URL0=http://vlrm.googlecode .com/svn/trunk/Instructions .ini
URL1=http://update1.virusalarmpro .com/Instructions .ini
URL2=http://update2.virusalarmpro .com/Instructions .ini
==//==
OutPutName=update.exe
RunParams=/u
RunHideParams=/h
==//==
URL0=http://vlrm.googlecode .com/svn/trunk/update .exe
URL1=http://update1.virusalarmpro .com/update .exe
URL2=http://update2.virusalarmpro .com/update .exe
==//==
OutPutName=uninstall.exe
==//==
URL0=http://vlrm.googlecode .com/svn/trunk/uninstall .exe
URL1=http://update1.virusalarmpro .com/uninstall .exe
URL2=http://update2.virusalarmpro .com/uninstall .exe
==//==
OutPutName=Work.exe
==//==
URL0=http://vlrm.googlecode.com/svn/trunk/Work.exe

Ahora bien, hay una serie de datos muy interesantes como que la mayoría del malware pertenece a una misma familia de scareware (Virus Melt, Virus Alarm, Virus Shield, etc.), buscando en la diseminación/infección, como es habitual en el scareware y a través de diferentes sitios web, realizar un fraude al incitar la compra del falso programa antivirus.

Los diferentes dominios que se encuentran en la misma dirección IP (64.213.140.69) son:
antivirus09 .net
malwarecatcher .net
prestotuneup .com
promo.fastantivirus09 .com
scan-ultraantivirus2009 .com
update1.virusalarmpro .com
update2.prestotuneup .com

En el caso del sitio del scareware Malware Catcher, hay un dato estadístico que me llamó la atención y cuyo objetivo es ofrecer un nivel tolerante de confianza hacia el usuario. Se trata de una comparativa en la que, humildemente, el falso antivirus ocupa el primer lugar :-)

Fomentar este tipo de información en las páginas del scareware forma parte de la estrategia de Ingeniería Social; lo que demuestra la organización y profesionalización que se encuentra detrás del malware.

Otro dato interesante es que al chequear la detección por parte de las compañías antivirus, muchas de ellas identifican alguna de las amenazas como variante de Waledac.

¿El scareware formará parte de una nueva estrategia de diseminación de Waledac?

Como podemos apreciar, el malware se nutre de diferentes alternativas de variada complejidad en cuanto a sus técnicas, incluso, transformando los sistemas infectados en una simbiosis de códigos maliciosos, que obliga a conocer los vectores de ataque más comunes para lograr un nivel de protección eficaz, sin descuidar la protección que ofrece una solución de seguridad antivirus.

Información relacionada
Una recorrida por los últimos scareware VIII
Scareware. Estrategia de engaño propuesta por Personal Antivirus

# pistus

Ver más