Publicado por Javier Guerrero,  3 de noviembre de 2010

Mucha gente piensa que, cuando las empresas fabricantes de antivirus hablan de las abundantes amenazas planteadas por el malware, exageran sobre la magnitud de las mismas, con la intención de vender su software. O dicho de otra forma, meten miedo a los usuarios para que compren sus productos. Por eso, cuando escribo artículos sobre malware, me gusta hacer referencia a experiencias de primera mano, como la que voy a comentar en este post.

Hace un tiempo me llamó por teléfono un amigo, muy preocupado porque en su PC le aparecía una ventana de notificación informándole de que había sido infectado por malware, más concretamente por 42 ejemplares de todo tipo: virus, troyanos, spyware, adware, etc. Era algo chocante, ya que su solución antimalware habitual sólo había detectado un par de amenazas, que teóricamente había eliminado; además, dichas notificaciones no formaban parte de su antivirus, y tampoco le permitían eliminar la infección.

Puesto que era posible que su Antivirus no estuviese actualizado, le sugerí que buscase una “segunda opinión”, mediante el uso de nuestro analizador gratuito online Panda ActiveScan.

Sin embargo, mi amigo no consiguió instalar el módulo de análisis de ActiveScan, ni con Internet Explorer ni con Firefox; algo lo estaba impidiendo. De hecho, cualquier uso del PC se había hecho impracticable, con lo cual tampoco podía navegar, instalar o desinstalar aplicaciones. En la práctica, su ordenador parecía estar secuestrado por esta aplicación.

Mis sospechas sobre lo que podía estar pasando se confirmaron cuando (en la pertinente visita a su domicilio) pude ver en persona la ventana en cuestión. Pertenecía a un supuesto producto de seguridad, llamado “Personal Security”.

Sin embargo, los problemas que he comentado antes hacían dudar de la legitimidad de este software. Además y por si fuera poco, mi amigo estaba seguro de no haberlo instalado, o al menos no de la forma habitual en que instalamos programas en Windows. Y también era muy sospechoso que su antivirus habitual no hubiese detectado tal cantidad de malware como el mostrado en dicha ventana.

La conclusión estaba clara: se trataba de un Fake o Rogue AV: un falso antivirus.

¿Qué es un ROGUE AV o falso antivirus?

Es una aplicación maliciosa que, simulando ser la versión de evaluación de un antivirus comercial, trata de engañar al usuario haciéndole creer que su PC ha sido infectado por diversos ejemplares de malware.

¿Con qué intención?

Económica, por supuesto. Este tipo de intrusos engañan al usuario haciéndole creer que poseen una versión de pruebas, y le fuerzan a adquirir una hipotética “versión completa” de la aplicación, si quieren eliminar del sistema esa supuesta infección. Mucha gente accede a ello, bien por desconocimiento, o bien como una manera de recuperar el uso normal de su ordenador.

El Rogue del que hablamos hoy incluye un formulario en el que piden los datos personales y bancarios de la víctima.

Hay que decir que este tipo de malware está muy extendido, entre otras cosas porque consigue engañar a mucha gente, ya que su interfaz gráfico (ventanas, botones, etc.) suele presentar un aspecto totalmente profesional.

Por ejemplo, este Rogue muestra una ventana de aviso muy parecida al Centro de Seguridad de Windows:

¿Cómo evitarlos?

El aspecto cuidado y profesional del que hacen gala muchos de estos intrusos les hace particularmente peligrosos, ya que pueden engañar a cualquier usuario poco avezado en este campo de la seguridad informática.

Y aunque los consejos que habitualmente damos (usar un buen antivirus actualizado, no descargar programas desconocidos, cuidado con las unidades USB, etc.) son igual de válidos, es importante prestar especial atención a las páginas web que visitamos.

Efectivamente, uno de los medios más empleados para propagar estos antivirus Fake es el conocido como “Blackhat SEO” (hablaremos de él en un próximo post), con el que consiguen influir en los resultados de las búsquedas web, añadiendo enlaces a páginas web maliciosas usadas para infectar. Estas páginas web causan estos avisos de infección, instando al usuario a hacer clic en un botón para descargar o instalar el producto.

Bajo ningún concepto se debe hacer clic en ninguna parte de la ventana mostrada, ya que eso consumará la instalación; en esos casos, se puede intentar cerrar todas las ventanas mediante la combinación de teclas ALT-F4, aunque es muy posible que ya hayamos sido infectados por el intruso.

Bueno y, ¿qué paso con mi amigo?

Pues finalmente pudimos resolver el problema arrancando su PC en modo seguro y eliminando manualmente todos los archivos y claves de registro pertenecientes al falso antivirus. Claro que esa información tuvo que ser obtenida mediante otro ordenador, ya que como hemos comentado, el suyo estaba totalmente secuestrado por el intruso.

Para terminar este post, me gustaría responder a la cuestión planteada al comienzo del mismo: sí, la amenaza del malware es real. Y no, no la exageramos lo más mínimo.

================================================================================

Javier Guerrero trabaja en Panda Security como especialista técnico y analista/programador, y desde su incorporación en 1998 ha participado en un buen número de proyectos de la compañía, casi siempre en las capas de tecnología kernel: el primer Panda Platinum, Panda Security y Panda Security for Networks, pasando por tecnologías como Firewall, TruPrevent, Residente de ficheros, Escudo y la capa de Interceptación de Cloud AV. Actualmente pertenece a la Unidad de Interceptación y es responsable de los interceptores de archivos y procesos de Panda Cloud Antivirus.