Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

martes, 17 de febrero de 2009

AntiSpyware 2009 amplia su oferta maliciosa y utiliza dominios .pro

AntiSpyware 2009 es un conocido scareware (o rogue) cuyas acciones características comprenden, entre otras, la saturación de la conexión a Internet y el despliegue de molestas ventanas emergentes que aluden de manera dramática a la infección de nuestro equipo, proponiendo la compra de la versión "paga" del malware a través de Internet.

Este scareware se encuentra operando desde el año 2007, cuando era conocido bajo el nombre AntiSpyware y durante el 2008 como AntiSpyware 2008, y actualmente ha ampliado su gama de propuestas de engaño diseminando una cantidad importante de sitios web que lo alojan recurriendo, incluso, a dominios .pro (profesional).

Bajo la IP 74.54.156.235, alojada en Dynapp Inc - Georgia. EEUU, se esconden los siguientes dominios:

drivers .pro
internetexplorer .pro
javascript.pro
mediaplayer.pro
fixfileextension.com
2squared.com
adwarealert.com
adwarebot.com
antispyware.com
antispywarebot.com
erroreasy.com
errorfix.com
errorkiller.com
errorsmart.com
errorsrepair.com
errorstool.com
errorsweeper.com
evidenceeraser.com
macrovirus.com
malwareremovalbot.com
privacycontrol.com
regfixpro.com
registryfox.com
registrysmart.com
regsweep.com
smitfraudfixtool.com
spywarebot.com
spywarestop.com
updatesregistry.com
paretologic.com
nuker.com
mykeylogger.com
Activexrepair.com
Aolerrors.com
Audiodeviceerrors.com
noadware.net


La mayoría de los dominios comparten diseño cambiando sólo el nombre de la falsa herramienta de seguridad u optimización.

Por último, nos encontramos con dos datos que vale la pena destacar, uno interesante y otro, más que interesante, preocupante.

El primero de ellos es que este scareware recurre también a la potencia de compresión del programa 7zip para comprimir los binarios dañinos disminuyendo así su tamaño en casi un 70%. El tamaño original del malware descargado es 2.50MB (MD5: c148174afe2e9e36e56a6ffd7fc68cb6); sin embargo, al descomprimirlo, su peso asciende a 33.3MB (MD5: 02cd088fd922197d9d5fda9890de911c).

El segunda dato interesante pero a la vez muy preocupante, es que el índice de detección de este malware es extremadamente bajo; dato que podemos apreciar a través del reporte de VT realizado sobre el binario descargado.

Información relacionada

Una recorrida por los últimos scareware III
Nueva estrategia de IS para diseminar scareware
Atacando sistemas Mac a través de falsa herramienta de seguridad

# pistus

Ver más