Continúa la importante y masiva campaña scareware
Durante el pasado mes, había escrito algo sobre una importante campaña de propagación de malware del tipo scareware, o rogue, empleando como estrategia de engaño páginas que simulan ser el explorador de Windows, tanto en idioma inglés como en español.
Un mes después, la campaña se sigue masificando explotando una importante cantidad de dominios, en su mayoría, de origen chino.
Sin embargo, sus creadores y diseminadores canalizan todos sus esfuerzos no sólo en obtener dominios de manera rápida a través del registro en hosting gratuitos o vulnerados, sino que también en evitar la detección por parte de compañías antivirus sin importar el ciclo de vida del instalador, ya que prácticamente es modificado a diario.
Algunos de los binarios y dominios involucrados son:
Sin embargo, sus creadores y diseminadores canalizan todos sus esfuerzos no sólo en obtener dominios de manera rápida a través del registro en hosting gratuitos o vulnerados, sino que también en evitar la detección por parte de compañías antivirus sin importar el ciclo de vida del instalador, ya que prácticamente es modificado a diario.
Algunos de los binarios y dominios involucrados son:
- install.exe. MD5 857fe3b30bc1f8a7ec4b73cb8dd38d3d
- install.exe. MD5 59d60912ff9d1a91fc9d75fcbede6c8d
- install.exe. MD5 16c601cf62a51250d2be81555172525a
- installer_1.exe. MD5 17354a6e1f2f8fb3ca507615060364bc
- setup.exe. MD5 20cfc5b10dae04aae02a16d6bf14d081
scanplus4 .info newscan4 .info
anytoplikedsite .com
topsecurity4you .com
cleanyourpcspace .com
fullsecurityshield .com
xw.dayindigo.cn/in .cgi?9
onlinedetect.com/in .cgi?6
greatsecurityshield .com
easycheckpoisonpro .cn/?
examineillnesslive .cn
easydefenseonline .cn
bigdefense2u .cn
vlo.bookadorable.cn/in .cgi?9
davidkramm.net/core/admin/bald-pussy-photo/red-pepper-humus-recipe .html
1000league .com/in .cgi?9
goscanstep .com/?uid=12724
in4ck .com/cki.php?uid=12724
data6scan .com/?uid=12724
bwgm.schoolh .cn/in.cgi?6 designroots .cn/in.cgi?6
drawingstyle .cn/in.cgi?6
ed.worksean .cn/in.cgi?6
housevisual .cn/in.cgi?6
kvk.housevisual .cn/in.cgi?6
oceandealer .cn/in.cgi?6
pub.oceandealer .cn/in.cgi?6
peopleopera .cn/in.cgi?6
rainfinish .cn/in.cgi?6
schoolh .cn/in.cgi?6
vitamingood .cn/in.cgi?6
websiteflower .cn/in.cgi?6
worksean .cn/in.cgi?6
xfln.housevisual .cn/in.cgi?6
yz.worksean .cn/in.cgi?6
securedantivirusonlinescanner .com
thankyou4check .com
antivirusonlineproscan .com
antivirus-pro-live-scan .com antivirusonlineproscanner .com
allsoftwarepayments .com
powerdownloadserver .com
securitysoftwarecheck .com
wwwsafetyread .com
scan7live .com
traffbox .com/in.cgi?6
soft-traffic .com
rd-point .net/go.php?id=1188
ddors .info/in.cgi?10
truconv .com/?a=125&s=gen-asw
yourfriskviruspro .cn/?wm=70127&l=1
addedantivirusstore .com
myplusantiviruspro .com
realantivirusplus .com
yourguardstore .cn
addedantiviruslive .com
japanhostnet .com/in.cgi?mainy8com
Si bien esta lista es bastante generosa, en comparación con la cantidad de dominios utilizados para la campaña scareware representa tan solo un mínimo porcentaje.
Por otro lado, más allá de la campaña en sí mismo, otro factor que preocupa es la cada vez mayor eficacia de este tipo de códigos maliciosos.
Información relacionada
Campaña de infección scareware a través de falso explorador de Windows
Una recorrida por los últimos scareware V
# pistus Ver más