Comisión de Seguridad

CUIDADO

31-05-2008 - En varios artículos vamos demostrar esta realidad que sufrimos los internautas, donde el simple hecho de buscar una "dll" en nuestro buscador se puede convertir en un peligro, visitar una web modificada por los delincuentes será una pesadilla, etc.

En este primer artículo mostramos un sitio web donde se nos invita a escanear nuestro PC en línea. Una trampa mortal para nuestro equipo.

Muchos usuarios están preocupados por la seguridad de su ordenador y quieren de forma rápida comprobar si tiene algún “bichito” en su equipo, la mejor forma es buscar en Internet antivirus online o cualquier tipo de cadena para obtener un adecuado resultado, pero si la búsqueda le conduce a la siguiente web: www.antivirus-scanonline.com

Registrado:

TORS1 BUISINESS LIMITED
Andreas Ellinas (mfmaxmex@gmail.com)
Suite 3, Portland House, Glacis Road,
Gibraltar
Other,220175
GI
Tel. +375.296324765


Se puede convertir en una pesadilla para nuestro maquina.

Al visitar la web nos muestra el simulacro de un escaneo en la maquina, con un resultado muy llamativo como podemos ver en la siguiente imagen:

Dependiendo del navegador o la versión que usemos, pueden ocurrir diferentes cosas;

- Internet Explorer versión 5.00.xx descarga y ejecución sin la acción del usuario de la maquina del fichero “AntvrsInstall.cab”

Contenido del fichero:



- Internet Explorer 6.0.2x descarga el fichero AntvrsInstall.exe.

- Firefox/2.0.x descarga el fichero AntvrsInstall.exe

Si el usuario no quiere la descarga y la deniega ocurre un cosa curiosa, cada vez que intentamos cerrar la casilla se repite la descarga, entramos en una dinámica de cerrar y intento de descarga, llega un momento que se convierte en una pesadilla para el usuario.

El fichero AntvrsInstall.exe, 60416 bytes y con MD5: c85e8b2f45e6bfb6c14d2ae981d2b6ff
nos añade las siguientes cadenas en nuestro registro:



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\SystemShared ""
HKEY_CURRENT_USER\Keyboard Layout\Toggle ""
HKEY_CURRENT_USER\Keyboard Layout\Toggle ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IMM ""
HKEY_CURRENT_USER\Software\Microsoft\CTF ""

Pero lo peor esta aun por ver, si un usuario visita el siguiente enlace (cuidado si no es un usuario especializado no visite la url):
http://www.antivirus-scanonline.com/nag/
la pesadilla pasara a ser un infierno parael usuario, cada vez que intentamos cerrar nuestro navegador no nos deja y además de realizar la descarga del fichero AntvrsInstall.exe



Después de comprobar la estructura del servidor fraudulento podemos ver también parte de código:




Este articulo es el primero de varias demostraciones donde se pueden ver con claridad que todos podemos ser victimas de cualquier tipo de acciones por parte de los delincuentes, también queremos destacar que estos informes no son técnicos, están realizados de forma compresible para todos los usuarios de Internet con el objetivo que puedan comprobar los peligros que hay en la red y que tenemos que tener una pequeña cultura de uso de la red.

Por ultimo queremos dar otro aviso a los usuarios de Linux, muchos usuarios de este sistema operativo “podemos creer” que estamos a salvo de estas acciones, pues no tenemos que caer en esta máxima, ya que estamos equivocados, las pruebas realizadas demuestran que la descarga también afectan a las distribuciones de Linux, la cuestión es que el 80% del malware que hay en la red afecta a Windows Microsoft al ser el sistema mas usado, pero algún día nos pueden “enchufar” algún rootkit en nuestros queridos Linux. Tengamos los pies en el suelo.

Pregunta en el aire; ¿Quiénes son los responsables de informar a la comunidad internauta sobre estos peligros y denunciar ante la justicia este tipo de sitios web para su cierre inmediato?

Dirección electrónica si quiere denunciar web trampa o sospechosas de malware, robo de identidad, etc; phishing@internautas.org


Comisión de Seguridad en la Red.
José María Luque Guerrero
http://seguridad.internautas.org - www.seguridadenlared.org - www.seguridadpymes.es
Asociación de Internautas. www.internautas.org