Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 13 de abril de 2009

Continúa la importante y masiva campaña scareware

Durante el pasado mes, había escrito algo sobre una importante campaña de propagación de malware del tipo scareware, o rogue, empleando como estrategia de engaño páginas que simulan ser el explorador de Windows, tanto en idioma inglés como en español.

Un mes después, la campaña se sigue masificando explotando una importante cantidad de dominios, en su mayoría, de origen chino.

Sin embargo, sus creadores y diseminadores canalizan todos sus esfuerzos no sólo en obtener dominios de manera rápida a través del registro en hosting gratuitos o vulnerados, sino que también en evitar la detección por parte de compañías antivirus sin importar el ciclo de vida del instalador, ya que prácticamente es modificado a diario.


Algunos de los binarios y dominios involucrados son:

ia-scannerpro .com
scanplus4 .info
newscan4 .info
anytoplikedsite .com

topsecurity4you .com

cleanyourpcspace .com

fullsecurityshield .com

xw.dayindigo.cn/in .cgi?9

onlinedetect.com/in .cgi?6

greatsecurityshield .com

easycheckpoisonpro .cn/?

examineillnesslive .cn

easydefenseonline .cn

bigdefense2u .cn

vlo.bookadorable.cn/in .cgi?9

davidkramm.net/core/admin/bald-pussy-photo/red-pepper-humus-recipe .html

1000league .com/in .cgi?9

goscanstep .com/?uid=12724

in4ck .com/cki.php?uid=12724

data6scan .com/?uid=12724

bwgm.schoolh .cn/in.cgi?6
designroots .cn/in.cgi?6
drawingstyle .cn/in.cgi?6

ed.worksean .cn/in.cgi?6

housevisual .cn/in.cgi?6

kvk.housevisual .cn/in.cgi?6

oceandealer .cn/in.cgi?6

pub.oceandealer .cn/in.cgi?6

peopleopera .cn/in.cgi?6

rainfinish .cn/in.cgi?6

schoolh .cn/in.cgi?6

vitamingood .cn/in.cgi?6

websiteflower .cn/in.cgi?6

worksean .cn/in.cgi?6

xfln.housevisual .cn/in.cgi?6

yz.worksean .cn/in.cgi?6

securedantivirusonlinescanner .com

thankyou4check .com

antivirusonlineproscan .com

antivirus-pro-live-scan .com
antivirusonlineproscanner .com
allsoftwarepayments .com

powerdownloadserver .com

securitysoftwarecheck .com

wwwsafetyread .com

scan7live .com

traffbox .com/in.cgi?6

soft-traffic .com

rd-point .net/go.php?id=1188

ddors .info/in.cgi?10

truconv .com/?a=125&s=gen-asw

yourfriskviruspro .cn/?wm=70127&l=1

addedantivirusstore .com

myplusantiviruspro .com

realantivirusplus .com

yourguardstore .cn

addedantiviruslive .com

japanhostnet .com/in.cgi?mainy8com


Si bien esta lista es bastante generosa, en comparación con la cantidad de dominios utilizados para la campaña scareware representa tan solo un mínimo porcentaje
.

Por otro lado, más allá de la campaña en sí mismo, otro factor que preocupa es la cada vez mayor eficacia de este tipo de códigos maliciosos.

Información relacionada

Campaña de infección scareware a través de falso explorador de Windows
Una recorrida por los últimos scareware V


# pistus

Ver más