Recopilación de Falsos Antivirus Win32/FakeAV

No es la primera vez que hablamos de falsos antivirus o rogueguards cuya finalidad es la de hacerse pasar por una herramienta anti-malware con el objetivo de que el usuario pague por una versión completa que sea capaz de eliminar las falsas amenazas encontradas por estos programas.

Este tipo de software, distintamente a un virus o troyano, se instala en el sistema con la finalidad de dejarse notar para dar falsas alarmas a los usuarios. Incluso muchisimos de ellos crean enlaces directos en el escritorio con el fin de hacerse notar.

Una buena pregunta para hacerse es cuando una herramienta anti-malware puede ser considerada como falsa y aquí pondré algunos sencillos pasos para detectarlas ya que a veces es difícil y puede crearse confusión.

• Detectan un número exagerado de amenazas
  
• Siempre te muestran la opción de pagar por una versión completa, generalmente después de localizar gran cantidad de malware.
• Tienen muchas veces nombres muy genéricos como AntivirusXXX o MalwareXXX
• Suelen tener diferentes páginas web con nombres de dominio que incluyen números.
• Algunos casos van o acompañan a otro tipo de malware en el pc infectado.

Generalmente se van actualizando cada año y muchos de ellos tienen los mismos nombres pero versiones nuevas, por ejemplo el Antivirus2008, tubo descendientes como el Antivirus2009, Antivirus2010 o el AntivirusXP. Aquí dejo una lista de los rogue's mas conocidos con sus respectivos iconos para que puedan ser localizados rápidamente.

Advanced Antivirus
Advanced Cleaner
AdwareRemover2007
AntiMalwareGuard
Antivirus 2008
Antivirus 2009
Antivirus 2008 XP
Antivirus Lab 2009
Antivirus Pro
Antivirus XP 2008
Antivirus XP 2009
Awola Anti-Spyware
BraveSentry
DrAntispy
DriveCleaner
MalwareAlarm
MalwareMonitor
MS AV
SecureExpertCleaner
Smart Antivirus 2009
SpyShredder
System Doctor
VirusRemover2008
Virus Response Lab 2009
WinSpywareProtect
WinXProtector
XP Cleaner
XP Guard

La eliminación de todos ellos no comporta ningún problema, simplemente se pueden desinstalar como cualquier otro programa des de el panel de control, también todos ellos incluyen un ejecutable uninstall.exe.

Algunas novedades en killtrojan usb antivirus.

Primero de todo comentar que ya he subido una nueva actualización, la v 0.340 que cuenta con nuevos gusanos añadidos a la base de datos vírica, uno de ellos una firma genérica de un gusano que se hizo famoso hace un tiempo llamado Olhrwef. También se a añadido una ligera mejora gráfica para no cargar tanto el diseño.

Por otro lado, comentar un problema que me reportaron un par de usuarios con el Panda Antivírus, según ellos, y he podido comprovar yo mismo, el panda eliminava el killtrojan usb antivírus detectándolo como una amenaza. Este error lo reporte a Panda hace unos días y ya han podído solucionar el conflicto. De hecho desde hace tres días, con las nuevas actualizaciónes de panda ya no debería haber este conflicto.

El email que me fue remitido como respuesta a la incidencia fue el que expongo a continuación. Así que a partir de ahora no deberían haber problemas con productos de Panda. Por otro lado, todavía me falta solucionar el problema con McAfee aunque ponerse en contacto con ellos resulta realmente engorroso.

Estimado cliente:

Tras analizar en nuestro laboratorio el contenido del mensaje que nos remite, le comunicamos que no contiene virus. La detección era debida a una coincidencia de cadenas.

La incidencia ya está solucionada en una versión beta de nuestro Fichero de Firmas (PAV.SIG), que puede descargar accediendo a la siguiente dirección:http://www.pandasecurity.com/spain/homeusers/security-info/disclaimer/disclaimer

Esperando haberle sido de ayuda, quedamos a su disposición para cualquier análisis adicional que desee solicitar.

Le saluda atentamente,

PandaLabs
virus@pandasecurity.com

Análisis a ESET SysInspector, herramienta que te ayudará a analizar y reparar el malware de un ordenador.

Hace algún tiempo, que oigo hablar sobre una herramienta gratuita llamada SysInspector, de la misma empresa que el conocido antivírus nod32. Tras descargarlo de su página web solo hace falta descomprimirlo y ya está listo para ser usado ya que no requiere de instalación previa, así una vez ejecutada la aplicación durante unos 20-30 segundos la aplicación leerá la información de nustro ordenador para posteriormente abrirse el programa.

El programa bajo mi opinión es uno de los más completos que he visto de éstos tipos de software que te muestran información del sistema, además graficamente es agradable y algo muy importante, es intuitivo.

Las opciones a destacar las cuales nos permite disponer el software son las siguientes:

• Procesos en ejecución.
• Conexiónes de red.
• Entradas del registro [importantes]
• Servicios.
• Controladores.
• Archivos críticos.
• Información del sistema.
• Detalles del archivo.

Uno de los detalles más vistosos y de agradecer es el sistema de colores que tiene el programa, tanto para entradas del registro, procesos, archivos, conexiónes de red...dispondremos de tres colores, el verde para todo aquello considerado positivo, el naranja para todo aquello dudoso o simplemente desconocido, o el rojo para todo aquello que pueda tener efectos adversos al buen funcionamiento de nuestro sistema.


Uno de los motivos de los cuales hace que éste software sea tan completo es de gran fuente de información útil que en pocos segundos podemos tener de nuestro sistema, por ejemplo si queremos ver los procesos, aparte de mostrarse todos ellos, podremos ver los subprocesos, sus servicios, archivos a los que está asociado, compañía, versión e información varía sobre éste.

En cuanto a las entradas del registro, nos permite ver rápidamente que ejecutables se inician cada vez que encendemos o reiniciamos el ordenador, incluso se nos proporciona información sobre claves que están directamente relacionadas con el funcionamiento de nuestro sistema, ideal para localizar cambios o estropeos que se hayan ocasionado mediante malware o otras fuentes.

Otra de las utilidades de esta herramienta, es que nos pueder enseñar el tráfico de red de nuestro ordenador en tiempo real, viendo las conexiónes y puertos que tenémos en espera,abiertos o conectados, ideal para poder ver si tenémos algún típo de malware enviando o recibiendo información como lo podría hacer una botnet, un troyano o inclúso algúnos gusanos.

Dándole una ojeada general, es una de las herramientas para el análisis de equipos más completo y fácil de usar que he visto y hasta el momento, los días que llevo haciéndole pruevas no me a defraudado en ningún sentido.

Descargar ESET SysInspector [Gratuito y portable]

Infección de ficheros ejecutables mediante padding en segmentos de memória

Buenas, este artículo hablaré de otra forma de infección de ejecutables, hace unos días hice una explicación de concepto sobre infección de ejecutables mediante la copia de código vírico al huésped, pueden repasar el artículo en éste enlace.

Hoy hablaremos de otro tipo de infección, ésta se conoce como relleno de huecos de memoria o "padding". Ántes de hacer una explicación de en que consiste, pasarémos a hacer una rápida explicación de como se almacénan los segmentos de memória en un archivo, si entienden éste concepto verán rápidamente en que consiste el "padding".

Un archivo dispone de segmentos de memoria que se guardan en conjuntos de 4 Kb generalmente, cuando los datos que se disponen en uno de éstos segmentos, no ocupan un múltiplo de 4, se hace un relleno de ceros hasta conseguir el múltiplo y pasar al siguiente segmento. En éste caso este relleno de ceros simplemente es para marcar hasta donde llegará el segmento, hablándo de funcionalidad no tendrá ni una ya que solo sirve de relleno.


A partír de aquí ya podéis imaginaros en que consiste la técnica, trata de rellenar éstos espacios libres con código, con la posibilidad de copiar todo el virus en uno de éstos segmentos. Cabe destacar una de las ventájas principales de ésta técnica a diferencia de la técnica de días anteriores donde el virus se copiava al ejecutable y se separava mediante un identificador o mutex.

La ventaja principal es que en éste caso la longitud del fichero en bytes no varía, ya que lo único que se ha hecho es substituir "espacios" de memoria rellenados con 0. Ésta técnica suele ser más compleja de realizar que otras, pero almenos el ejecutable infectado pasará desapercibido por su tamaño en disco que no variará.