¡Explora el foro sin registro hoy mismo y únete a la conversación de la comunidad!

Menu

Ads/ Anuncios

        Foros online -> Los mejores antivirus Protege tu seguridad en línea Los antivirus rogue falsos antivirus
  • Publicado: Miércoles Octubre 15, 2008 6:19 am
    •  

    Los antivirus rogue falsos antivirus
    La industria antivirus "alternativa" está en pleno auge. Se trata de antivirus falsos (llamados "rogue") que habitualmente se hacen pasar por una milagrosa cura para un sistema completamente infectado. Sus páginas parecen profesionales y engañan a los usuarios a través de una animación falsa donde supuestamente se detecta una gran cantidad de malware en el sistema y se propone la descarga del verdadero virus para desinfectar. Publicitar este tipo de "antivirus" es una tarea que se toman muy en serio.

    Los antivirus "rogue" no son más que malware camuflado bajo el aspecto de un antivirus. Suelen diseñar una página de aspecto profesional desde donde puede descargarse. Para incitar a la instalación, simulan mediante una animación Flash que el sistema está siendo analizado en vivo y que se ha encontrado mucho malware que el falso antivirus puede eliminar. La animación suele ser la misma independientemente del sistema operativo que se utilice para visitar la web. Los creadores de este malware necesitan que se visite este tipo de páginas para que el usuario descargue y ejecute. Resulta una alternativa a la ejecución automática en la víctima aprovechando vulnerabilidades. Este sistema de ingeniería social cubre por ejemplo, la "cuota de mercado" que resta de usuarios que no pueden ser infectados a través de fallos de seguridad porque su sistema está al día.

    Los dominios que alojan este tipo de malware se han multiplicado en el último año. Suelen tener el aspecto de: [ATENCIÓN, pueden contener malware, NO se deben visitar a menos que se sepa lo que se está haciendo].

    antivirus-scanner-online .com, online-av-scan2008 .com, antivirus-online-08 .com, anti-virus-xp .com, anti-virus-xp .net, i-spyware8 .com, anti-spyware4 .com, smartantivirus2009v2 .com, smartantivirus2009v2-buy .com, anti-spyware11 .com, anti-spyware10 .com, antivirus-cs1 .com antivirus-cs14 .com, anti-virusxp2008 .net, antimalware09 .com, antivirxp .net, av-xp08 .net, av-xp2008 .com, av-xp2008 .net, avx08 .net, axp2008 .com, e-antiviruspro .com, online-security-systems .com, xpprotector .com, pvrantivirus .com, wav2008 .com, wiav2009 .com, win-av .com, windows-av .com, windowsav .com y un largo etcétera.

    La técnica que se está observando últimamente es la del uso de banners y anuncios (Adsense, principalmente) para invitar al usuario a la descarga del supuesto antivirus a través de una publicidad que parece "normal". Incluso invierten (probablemente usando tarjetas robadas) en anuncios en páginas legítimas. Ahora han ido un paso más allá usando el archivo .htaccess de servidores legítimos, que consiguen controlar bien robando sus credenciales o aprovechando fallos de seguridad del sitio.

    .htaccess es un archivo de Apache que permite controlar el acceso al directorio web donde esté alojado. Permite bloquear el acceso por direcciones IP o por otras reglas. Una posibilidad es por ejemplo usar el REFERER, o "desde qué página se ha llegado" y poder redirigir al visitante en consecuencia gracias al RewriteEngine del servidor web.

    Se han observado cambios como estos en los archivos .htaccess modificados en webs legítimas.

    RewriteEngine On
    RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
    RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
    RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
    RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
    RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
    RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
    RewriteRule .* http://webdelsupuestoantivirus.com [R,L]
    Errordocument 404 http://webdelsupuestoantivirus.com

    Lo que resulta curioso. Si un usuario visita directamente una página web con el .htaccess modificado de esta forma, en principio no pasará nada. Pero si la visita se realiza desde uno de los buscadores que aparecen (la víctima viene de Google, AOL, msn...), como el HTTP_REFERER cumple una de las condiciones de la expresión regular, será redirigido según la regla "RewriteRule" a la web del supuesto antivirus de forma automática. También si se visita una web que no exista (el servidor devuelve un 404).

    Resulta especialmente rebuscado, pero al parecer eficaz. Los atacantes están aprovechando cada vez más las etiquetas User-Agent y Referer del protocolo HTTP para "personalizar" ataques. Si no son imprescindibles para el usuario, se puede añadir una pequeña capa de protección modificando estos valores través de un proxy. Por supuesto, además, conviene descargar y utilizar antivirus sólo de marcas reconocidas
  • Publicado:
    •  

     

    Similares  
            Foros online -> Los mejores antivirus Protege tu seguridad en línea Todas las horas están en GMT
    Página 1 de 1  
    Saltar a:  
    Puede crear mensajes
    Puede responder temas
    No puede editar sus mensajes
    No puede borrar sus mensajes
    Puede votar en encuestas

    Espero que hayan disfrutado de este foro y que hayan aprendido algo nuevo. Quiero agradecer a todos los participantes por sus valiosas aportaciones y comentarios. También quiero dar las gracias a los moderadores por su excelente trabajo y a los organizadores por hacer posible este espacio de intercambio y debate. Les invito a seguir conectados con nosotros y a estar atentos a las próximas actividades que tenemos preparadas para ustedes. Recuerden que pueden seguir consultando el foro y acceder a los recursos compartidos en cualquier momento. Les deseo lo mejor y hasta pronto.



    Subscribe to feed.

    Online gratis

    Únete a nuestra comunidad en línea y participa en el foro más vibrante sobre sin tener que registrarte. Aquí encontrarás debates animados, preguntas y respuestas, así como la oportunidad de conectarte con personas de todo el mundo que comparten tus intereses. 2020 2023.
    Terminos y Condiciones de uso  Cookies - Contacto