Los falsos antivirus y el uso fraudulento del .htaccess de páginas legítimas
La industria antivirus "alternativa" está en pleno auge. Se trata de antivirus falsos (llamados "rogue") que habitualmente se hacen pasar por una milagrosa cura para un sistema completamente infectado. Sus páginas parecen profesionales y engañan a los usuarios a través de una animación falsa donde supuestamente se detecta una gran cantidad de malware en el sistema y se propone la descarga del verdadero virus para desinfectar. Publicitar este tipo de "antivirus" es una tarea que se toman muy en serio.
Los antivirus "rogue" no son más que malware camuflado bajo el aspecto de un antivirus. Suelen diseñar una página de aspecto profesional desde donde puede descargarse. Para incitar a la instalación, simulan mediante una animación Flash que el sistema está siendo analizado en vivo y que se ha encontrado mucho malware que el falso antivirus puede eliminar. La animación suele ser la misma independientemente del sistema operativo que se utilice para visitar la web. Los creadores de este malware necesitan que se visite este tipo de páginas para que el usuario descargue y ejecute. Resulta una alternativa a la ejecución automática en la víctima aprovechando vulnerabilidades. Este sistema de ingeniería social cubre por ejemplo, la "cuota de mercado" que resta de usuarios que no pueden ser infectados a través de fallos de seguridad porque su sistema está al día.
Los dominios que alojan este tipo de malware se han multiplicado en el último año. Suelen tener el aspecto de: [ATENCIÓN, pueden contener malware, NO se deben visitar a menos que se sepa lo que se está haciendo].
antivirus-scanner-online .com, online-av-scan2008 .com, antivirus-online-08 .com, anti-virus-xp .com, anti-virus-xp .net, i-spyware8 .com, anti-spyware4 .com, smartantivirus2009v2 .com, smartantivirus2009v2-buy .com, anti-spyware11 .com, anti-spyware10 .com, antivirus-cs1 .com antivirus-cs14 .com, anti-virusxp2008 .net, antimalware09 .com, antivirxp .net, av-xp08 .net, av-xp2008 .com, av-xp2008 .net, avx08 .net, axp2008 .com, e-antiviruspro .com, online-security-systems .com, xpprotector .com, pvrantivirus .com, wav2008 .com, wiav2009 .com, win-av .com, windows-av .com, windowsav .com y un largo etcétera.
La técnica que se está observando últimamente es la del uso de banners y anuncios (Adsense, principalmente) para invitar al usuario a la descarga del supuesto antivirus a través de una publicidad que parece "normal". Incluso invierten (probablemente usando tarjetas robadas) en anuncios en páginas legítimas. Ahora han ido un paso más allá usando el archivo .htaccess de servidores legítimos, que consiguen controlar bien robando sus credenciales o aprovechando fallos de seguridad del sitio.
.htaccess es un archivo de Apache que permite controlar el acceso al directorio web donde esté alojado. Permite bloquear el acceso por direcciones IP o por otras reglas. Una posibilidad es por ejemplo usar el REFERER, o "desde qué página se ha llegado" y poder redirigir al visitante en consecuencia gracias al RewriteEngine del servidor web.
Se han observado cambios como estos en los archivos .htaccess modificados en webs legítimas.
Seguir leyendo
Fuente:
http://www.hispasec.com/unaaldia/3643
http://isc.sans.org/diary.php?storyid=5150
Los antivirus "rogue" no son más que malware camuflado bajo el aspecto de un antivirus. Suelen diseñar una página de aspecto profesional desde donde puede descargarse. Para incitar a la instalación, simulan mediante una animación Flash que el sistema está siendo analizado en vivo y que se ha encontrado mucho malware que el falso antivirus puede eliminar. La animación suele ser la misma independientemente del sistema operativo que se utilice para visitar la web. Los creadores de este malware necesitan que se visite este tipo de páginas para que el usuario descargue y ejecute. Resulta una alternativa a la ejecución automática en la víctima aprovechando vulnerabilidades. Este sistema de ingeniería social cubre por ejemplo, la "cuota de mercado" que resta de usuarios que no pueden ser infectados a través de fallos de seguridad porque su sistema está al día.
Los dominios que alojan este tipo de malware se han multiplicado en el último año. Suelen tener el aspecto de: [ATENCIÓN, pueden contener malware, NO se deben visitar a menos que se sepa lo que se está haciendo].
antivirus-scanner-online .com, online-av-scan2008 .com, antivirus-online-08 .com, anti-virus-xp .com, anti-virus-xp .net, i-spyware8 .com, anti-spyware4 .com, smartantivirus2009v2 .com, smartantivirus2009v2-buy .com, anti-spyware11 .com, anti-spyware10 .com, antivirus-cs1 .com antivirus-cs14 .com, anti-virusxp2008 .net, antimalware09 .com, antivirxp .net, av-xp08 .net, av-xp2008 .com, av-xp2008 .net, avx08 .net, axp2008 .com, e-antiviruspro .com, online-security-systems .com, xpprotector .com, pvrantivirus .com, wav2008 .com, wiav2009 .com, win-av .com, windows-av .com, windowsav .com y un largo etcétera.
La técnica que se está observando últimamente es la del uso de banners y anuncios (Adsense, principalmente) para invitar al usuario a la descarga del supuesto antivirus a través de una publicidad que parece "normal". Incluso invierten (probablemente usando tarjetas robadas) en anuncios en páginas legítimas. Ahora han ido un paso más allá usando el archivo .htaccess de servidores legítimos, que consiguen controlar bien robando sus credenciales o aprovechando fallos de seguridad del sitio.
.htaccess es un archivo de Apache que permite controlar el acceso al directorio web donde esté alojado. Permite bloquear el acceso por direcciones IP o por otras reglas. Una posibilidad es por ejemplo usar el REFERER, o "desde qué página se ha llegado" y poder redirigir al visitante en consecuencia gracias al RewriteEngine del servidor web.
Se han observado cambios como estos en los archivos .htaccess modificados en webs legítimas.
Seguir leyendo
Fuente:
http://www.hispasec.com/unaaldia/3643
http://isc.sans.org/diary.php?storyid=5150
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!