Os informamos de una nueva oleada de mensajes de correo electrónico que supuestamente contienen una postal y en los que se está distribuyendo malware. Concretamente, hemos recibido varios miles en unas horas.

No es la primera vez que detectamos en circulación mensajes como este, ya que asuntos como “Has recibido una postal” es un tema bastante recurrente.

El mensaje en el que llega es como el siguiente:

postcardzip_es

El mensaje parece haber sido enviado por un miembro de tu familia a través de una página web legal de descarga y envío de postales para que los usuarios no desconfíen. Para poder ver la postal, tienes que abrir el fichero adjunto. Se trata de un fichero comprimido en zip que si es ejecutado, se instala en el ordenador un falso antivirus que varía en función del mensaje y del sistema operativo que tenga tu ordenador.

Los siguientes son algunos de los nombres de los falsos antivirus que se pueden instalar en tu ordenador si ejecutas este archivo:

% Antispyware 2010

Antivirus % 2010

% Guardian 2010

% Guardian

% Defender 2010

% Antivirus

% Antivirus 2010

% Antivirus Pro

% Antivirus Pro 2010

% Internet Security

% Internet Security 2010

Siendo % el sistema operativo del ordenador en el que se va a instalar. Ejemplos: XPAntispyware2010, Vista Guardian, Win 7 Antivirus Pro.

Vamos a tomar como ejemplo Antivirus XP 2010 y a comentar las acciones que realiza, una vez que se ha instalado en el ordenador.

Como el resto de los falsos programas antivirus, comienza a realizar un análisis del sistema para comprobar si el ordenador está infectado.

Una vez finalizado, muestra un listado con el malware que ha detectado en tu ordenador para hacerte creer que tienes un problema y que este programa te va a dar la solución:

AntivirusXP2010

Sin embargo, todo el malware que ha detectado hace referencia a archivos inexistentes, por lo que la única amenaza que tienes es el propio rogue.

Además, impide la ejecución de los programas que en cuyo título de ventana aparezcan los siguientes textos:

Firefox

Varias suites de seguridad.

Cuando intentas ejecutar alguno de estos, muestra un mensaje informándote que dichos programas están infectados y te recomienda que instales el falso antivirus parea solucionar el problema.

La siguiente imagen corresponde al mensaje que muestra cuando ejecutas Firefox:

Firefox_infected

También contiene código para desinstalar diferentes soluciones antivirus. De esta manera, el ordenador quedaría desprotegido y evitaría que los programas antivirus reales lo detectaran.

Actualización:

Cuando estás navegando con Internet Explorer, cada cierto tiempo muestra la siguiente página web, advirtiéndote que la página a la que vas a acceder es peligrosa:

AdwareAntivirusXP2010_img8

Puedes obtener más información sobre este rogue en el siguiente enlace:

https://www.pandasecurity.com/es/security-info/217799/AntivirusXP2010