Cómo impedir la entrada - Sophos

Cómo impedir la entrada
de antivirus falsos en las redes
Hoy en día, los antivirus falsos son una de las amenazas más habituales
en Internet. Mediante técnicas de ingeniería social, este tipo de programas,
también conocidos como scareware, engañan a los usuarios para que
visiten sitios maliciosos y compren herramientas falsas con las que
eliminar las amenazas.
Este monográfico ofrece información sobre la procedencia y los métodos
de distribución de los antivirus falsos, las consecuencias de estas
infecciones para los sistemas y cómo evitar que las redes y los usuarios se
vean afectados por esta amenaza continua.
Cómo impedir la entrada de antivirus falsos en las redes
Qué son los antivirus falsos
Los antivirus falsos son programas
de seguridad fraudulentos que fingen
detectar amenazas peligrosas para la
seguridad (como virus) en los equipos.
El primer escaneado es gratis pero,
para limpiar las supuestas "amenazas"
detectadas, es necesario realizar un pago.
Este tipo de programas maliciosos muestran
mensajes de alerta falsos sobre amenazas
presentes en los equipos que, en realidad,
no existen. Las alertas incitan a los usuarios
a visitar sitios web en los que pueden
contratar servicios para la limpieza de las
amenazas ficticias. El programa antivirus
falso muestra alertas molestas e indiscretas
de forma incesante hasta que se realiza un
pago o se elimina el programa malicioso.
Este monográfico contiene información
sobre la procedencia de los antivirus
falsos, cómo afectan a los sistemas
infectados y las técnicas que pueden
utilizar los usuarios para protegerse.
Monográficos de Sophos. Enero de 2013.
Los antivirus falsos reportan gran cantidad
de beneficios y, por eso, gozan de gran
popularidad entre los cibercriminales.
En comparación con otras clases de
programas maliciosos, como las redes
de bots, los troyanos de puerta trasera,
los descargadores o los programas
de interceptación de contraseñas, los
antivirus falsos empujan a las víctimas a
entregar dinero directamente al autor del
programa malicioso. Las víctimas suelen
pagar alrededor de 100 € con tarjetas
de crédito por el programa falso que
supuestamente soluciona el problema.
Los antivirus falsos también están
relacionados con una floreciente comunidad
de redes afiliadas que obtienen grandes
cantidades de beneficios por dirigir el
tráfico de usuarios a las tiendas de sus
socios1. Las redes de distribución pagan
entre 20 y 25 € por infectar equipos
adicionales y simplemente generar
pistas, por lo que los individuos afiliados
pueden obtener beneficios fácilmente.
2
Cómo impedir la entrada de antivirus falsos en las redes
Desde SophosLabs, hemos observado
la aparición de nuevos tipos de antivirus
falsos. Los equipos Mac se han convertido
en uno de los principales objetivos y los
ataques utilizan técnicas de ingeniería
social especialmente diseñadas para estos
sistemas tanto a modo de anzuelo como
en los propios programas maliciosos.
Después de observar detenidamente la
evolución del panorama de programas
maliciosos para Mac OS X, hemos llegado
a la conclusión de que los antivirus falsos
para equipos Mac están progresando
rápidamente y siguen muchos de los pasos
de los programas maliciosos para Windows.
Los hackers utilizan imágenes,
contaminación de resultados de búsquedas
y temas de actualidad para infectar
a los usuarios con antivirus falsos.
Además, SophosLabs ha detectado
gran cantidad de antivirus falsos que
cambian de nombre para confundir a
los usuarios y evitar ser detectados.
Síntomas típicos de las infecciones
Los antivirus falsos utilizan una amplia
gama de técnicas de ingeniería social
para instalarse. Entre las campañas
vistas hasta la fecha se incluyen:
ÌÌ Actualizaciones de seguridad
de Windows falsas2
ÌÌ Páginas falsas de Virus-Total3
ÌÌ Aplicaciones de Facebook falsas4
ÌÌ Timos relacionados con el
11 de septiembre5
Una vez instalados en el sistema,
suelen mostrar patrones de
comportamiento similares:
Ventanas emergentes de advertencia
Muchas familias de antivirus falsos
muestran mensajes emergentes
(vea las figuras 1, 2, 3, 4 y 5).
Figura 2
Figura 3
Figura 1
Figura 4
Monográficos de Sophos. Enero de 2013.
Figura 5
3
Cómo impedir la entrada de antivirus falsos en las redes
Escaneados falsos
Los antivirus falsos suelen fingir que
escanean el ordenador y encuentran
amenazas ficticias. A veces, crean
archivos llenos de datos inservibles
ellos mismos para luego detectarlos6
(vea las figuras 6, 7 y 8).
Para crear mayor impresión de
legitimidad, los antivirus falsos
utilizan una gran variedad de nombres
convincentes como, por ejemplo:
ÌÌ Security Shield
ÌÌ Windows XP Recovery
ÌÌ Security Tool
ÌÌ Internet Defender
ÌÌ PC Security Guardian
ÌÌ BitDefender 2011
ÌÌ Security Defender
ÌÌ Antimalware Tool
ÌÌ Smart Internet Protection
ÌÌ AntiVirus AntiSpyware 2011
ÌÌ Malware Protection
ÌÌ XP Security 2012
ÌÌ Security Protection
ÌÌ XP Antivirus 2012
ÌÌ XP Anti-Spyware 2011
ÌÌ MacDefender
ÌÌ Mac Security
Los creadores de antivirus falsos abusan de
las técnicas de modificación de ejecutables
(como el polimorfismo del lado del servidor)
para multiplicar las variedades de una
misma familia. Durante el proceso, el archivo
ejecutable se vuelve a empaquetar fuera
de la red y, cuando se solicita una nueva
descarga, genera un archivo diferente. Este
proceso puede repetirse muchas veces en un
mismo día. Por ejemplo, se ha comprobado
que la familia denominada "Security Tool"7
puede generar un archivo diferente casi
cada minuto. De ahí la cantidad de muestras
que pueden aparecer de una sola familia.
Muchas familias comparten también
el mismo código base debajo del
empaquetador polimórfico, lo que le da
un nuevo aspecto a la aplicación, pero
sin modificar el comportamiento.
Figura 6
Figura 7
Monográficos de Sophos. Enero de 2013.
Figura 8
4
Cómo impedir la entrada de antivirus falsos en las redes
Vectores de infección
Cómo se producen las infecciones
de antivirus falsos
Aunque los antivirus falsos pueden entrar
en los sistemas de muchas formas distintas,
la mayoría de los métodos de distribución
se basan en técnicas de ingeniería social.
El resultado final es siempre el mismo:
el usuario cae en la trampa y ejecuta el
programa de instalación del antivirus falso,
como ocurre con muchos otros tipos de
troyanos. Hasta la fecha, los creadores
de antivirus falsos han utilizado una gran
diversidad de trucos de ingeniería social,
pero nunca dejan de ingeniar otros nuevos.
En este monográfico, analizaremos algunas
de las principales fuentes de infección:
ÌÌ Contaminación de la optimización
de los motores de búsqueda
ÌÌ Campañas de correo
electrónico no deseado
ÌÌ Sitios web comprometidos
y cargas de exploits
ÌÌ Descargas de antivirus falsos por parte
de otros programas maliciosos
Contaminación de la optimización
de los motores de búsqueda
La costumbre de hacer clic en los enlaces
obtenidos al realizar consultas en motores
de búsqueda conocidos es una de las
fuentes de infección de antivirus falsos más
habitual. Mediante la utilización de técnicas
Black Hat SEO8, los creadores de antivirus
falsos se encargan de que los enlaces que
conducen a los sitios web para la descarga
de sus programas aparezcan en los primeros
puestos de los resultados de las búsquedas.
Estos resultados "contaminados" llevan a
los usuarios a los sitios web controlados por
antivirus falsos, en los que se encontrarán
con una página falsa de escaneado que les
comunica que su equipo está infectado y
que deben descargar un programa para
limpiarlo. En otras ocasiones, pueden
encontrarse con una página para la supuesta
descarga de una película, que les incitará
a descargar un códec necesario para verla.
Dicho códec, en realidad, es un programa
para la instalación del antivirus falso.
Google proporciona un servicio denominado
Google Trends, mediante el que muestra
los términos de búsqueda utilizados con
mayor frecuencia en su buscador. Veamos
un ejemplo del proceso que siguen los
creadores de antivirus falsos para contaminar
los términos de búsqueda extraídos de
Google Trends. Estos son los términos de
búsqueda más populares (vea la figura 9).
Figura 9
Monográficos de Sophos. Enero de 2013.
5
Cómo impedir la entrada de antivirus falsos en las redes
Si buscamos en el motor cualquiera de estos
términos populares, obtendremos varios
resultados contaminados (vea la figura 10).
Al hacer clic en los enlaces, los usuarios
llegan a una página falsa de escaneado
que les informa sobre varias infecciones
presentes en el equipo y la necesidad de
descargar un programa para eliminar las
amenazas (vea las figuras 11, 12 y 13).
En otros casos, los enlaces llevan a los
usuarios a una página para la supuesta
descarga de una película, en la que se
les indica el códec que deben descargar
para verla (vea las figuras 14 y 15).
De un modo u otro, los usuarios se ven
envueltos en el engaño y pueden caer
en la trampa de descargar y ejecutar un
archivo desconocido que es, en realidad, el
programa de instalación del antivirus falso.
Figura 10
Figura 13
Figura 11
Figura 14
Figura 12
Figura 15
Monográficos de Sophos. Enero de 2013.
6
Cómo impedir la entrada de antivirus falsos en las redes
Campañas de correo
electrónico no deseado
A menudo, las víctimas reciben los antivirus
falsos directamente en su correo en forma
de archivos adjuntos o enlaces insertados
en mensajes de correo no deseado. Por lo
general, estos mensajes suelen enviarse a
través del correo electrónico, pero también
existen casos en los que los antivirus falsos
se distribuyen a través de aplicaciones de
mensajería instantánea, como Google Talk10.
Los mensajes de spam utilizan técnicas de
ingeniería social para engañar a los usuarios
y conseguir que ejecuten el archivo adjunto
o hagan clic en el enlace. Las campañas
de este tipo son variadas e incluyen timos
relacionados con el restablecimiento de
contraseñas, errores sobre mensajes no
entregados o postales electrónicas.
ÌÌ Timos de postales electrónicas: los
usuarios reciben un mensaje falso
de una empresa legítima de postales
electrónicas. En realidad, el mensaje
lleva adjunto el programa de instalación
del antivirus falso (vea la figura 17).
ÌÌ Timos sobre el restablecimiento de
contraseñas: las víctimas reciben
un mensaje falso de un sitio web
conocido, en el que se les informa del
restablecimiento de su contraseña
y de la entrega de una nueva en el
archivo adjunto (vea la figura 18).
ÌÌ Timos sobre entregas de paquetes: las
víctimas reciben información sobre un
(supuesto) envío postal en el archivo
adjunto al mensaje. En realidad, el
archivo adjunto sirve para instalar el
antivirus falso (vea la figura 19).
Entre las campañas de spam para la
difusión de antivirus falsos se incluyen:
ÌÌ Timos sobre suspensiones de cuentas:
las víctimas reciben un mensaje de
correo electrónico en el que se insinúa
la suspensión del acceso a una cuenta
determinada y se incita al usuario a
ejecutar el archivo adjunto para solucionar
el problema (vea la figura 16).
Figura 16
Figura 18
Figura 17
Figura 19
Monográficos de Sophos. Enero de 2013.
7
Cómo impedir la entrada de antivirus falsos en las redes
Sitios web comprometidos
y cargas de exploits
Descargas de antivirus falsos por parte
de otros programas maliciosos
En ocasiones, los usuarios llegan a los sitios
web de los antivirus falsos desde páginas
web legítimas en las que los cibercriminales
han inyectado código malicioso mediante la
penetración en el servidor de alojamiento del
sitio web objetivo del ataque y la inserción
(normalmente) de código JavaScript en
las páginas HTML alojadas. El código de
redireccionamiento puede utilizarse para
enviar el navegador a páginas que contienen
cualquier tipo de programa malicioso,
desde kits para el aprovechamiento de
vulnerabilidades (exploits) a antivirus
falsos. El código JavaScript suele estar
muy camuflado y Sophos detecta este
tipo de programas maliciosos como
una variedad de Troj/JSRedir11.
Los antivirus falsos también pueden
descargarse en los equipos a través de otros
tipos de malware. Con el fin de observar su
comportamiento y garantizar la continuidad
de la protección cuando aparecen nuevas
variantes, SophosLabs cuenta con muchos
equipos de cebo a los que llegan diferentes
tipos de programas maliciosos. Hasta la
fecha, hemos sido testigos de la instalación
de varios tipos de antivirus falsos en equipos
ya infectados, sobre todo, con TDSS,
Virtumundo y Waled14. También hemos
observado la instalación de antivirus falsos
en equipos ya infectados por el tristemente
célebre gusano Conficker15. De este modo,
después de infectar equipos con TDSS o
Virtumundo, los cibercriminales inducen
a las víctimas a pagar por los antivirus
falsos para seguir obteniendo beneficios.
SophosLabs también ha encontrado
ejemplos de canales publicitarios legítimos
modificados por cibercriminales para cargar
el código malicioso, bien mediante exploits
que descargan y ejecutan el archivo binario
del antivirus falso, o bien mediante un
simple iframe que redirige el navegador
a la página web del antivirus falso12, 13.
Monográficos de Sophos. Enero de 2013.
Además, existen modelos de pago por
instalación con los que los hackers cobran
por infectar los equipos de los usuarios.
Con este sistema, los hackers controlan
los equipos de las víctimas (mediante
TDSS u otros programas similares) y los
creadores de los antivirus falsos les pagan
por instalarlos en los equipos infectados.
8
Cómo impedir la entrada de antivirus falsos en las redes
Familias de antivirus falsos
A continuación, explicaremos en detalle
el comportamiento de los antivirus
falsos una vez que han llegado al
sistema objetivo del ataque.
Instalación en el registro
Normalmente, el antivirus falso copia el
programa de instalación en otra ubicación
del sistema y crea un entrada en el registro
para ejecutar el archivo al iniciar el equipo.
El programa de instalación suele copiarse
en el área del perfil del usuario (por ejemplo,
C:\Documents and Settings\<usuario>\
Configuración local\Datos de programa)
o en el área de archivos temporales (por
ejemplo, c:\windows\temp) con un nombre
de archivo generado de forma aleatoria.
De este modo, el antivirus falso traspasa
la protección de los equipos de Windows
que tienen activado el Control de cuentas
de usuario (UAC)16 y evita la aparición de
la advertencia correspondiente durante
la instalación. Sin embargo, a algunas
familias no les preocupa este control y
siguen creando los archivos en las carpetas
Archivos de programa o Windows.
A continuación, se crea una entrada
de clave en el registro que ejecutará
el archivo cuando se inicie el sistema.
Normalmente, la clave se añade a:
ÌÌ HKCU\Software\Microsoft\Windows\
CurrentVersion\RunOnce
ÌÌ HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
ÌÌ HKLM\Software\Microsoft\
Windows\CurrentVersion\Run
Ejemplos:
HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Runwpkarufv
c:\documents and settings\<usuario>\
configuración local\datos de programa\
tqaxywicl\chgutertssd.exe
HKCU\Software\Microsoft\Windows\
CurrentVersion\RunOnceCUA
c:\windows\temp\sample.exe
HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run85357230
c:\documents and settings\
todos los usuarios\datos de
programa\85357230\85357230.exe
Monográficos de Sophos. Enero de 2013.
9
Cómo impedir la entrada de antivirus falsos en las redes
Inicio del escaneado falso
Una vez que el antivirus falso está
instalado, normalmente, intentará
ponerse en contacto con un sitio web
remoto a través del protocolo HTTP para
descargar el componente principal. A
continuación, iniciará el escaneado falso
del sistema, que detectará gran cantidad
de amenazas ficticias. La ventana principal
del antivirus falso suele tener un aspecto
muy profesional que convence fácilmente
a los usuarios de que están utilizando
un producto de seguridad auténtico (vea
las figuras 20, 21, 22, 23, 24 y 25).
Figura 22
Figura 23
Figura 20
Figura 24
Figura 21
Figura 25
Monográficos de Sophos. Enero de 2013.
10
Cómo impedir la entrada de antivirus falsos en las redes
Después de detectar las amenazas
ficticias, el programa incita al usuario
a registrarse o activar el producto para
poder limpiarlas, y le lleva a un sitio web
(tanto a través de un navegador como
a través de la aplicación antivirus falsa)
en el que deberá introducir los datos de
su tarjeta de crédito y otra información
personal para registrarse. Mediante el uso
ilegal de logotipos y marcas registradas
de empresas reconocidas del sector,
como Virus Bulletin17 o West Coast Labs18,
los cibercriminales consiguen que estos
sitios resulten también muy convincentes
(vea las figuras 26, 27, 28, 29, 30 y 31).
Figura 28
Figura 29
Figura 26
Figura 30
Figura 27
Monográficos de Sophos. Enero de 2013.
Figura 31
11
Cómo impedir la entrada de antivirus falsos en las redes
Otros comportamientos
de los antivirus falsos
Algunas familias de antivirus falsos
interfieren en la actividad normal del
sistema para causar mayor consternación
en las víctimas. La desactivación del
Administrador de tareas o el uso del Editor
del registro para impedir la ejecución de
determinados procesos, o incluso para
el redireccionamiento de las solicitudes
web, son algunos de los trucos más
habituales. Este tipo de comportamientos
convence aún más al usuario de la
existencia de un problema en el sistema y
aumenta las posibilidades de que realice
una compra. Para resultar aún más
efectivos, los antivirus falsos pueden:
ÌÌ Finalizar procesos: el antivirus falso
impide la ejecución de determinados
programas y, en su lugar, muestra
advertencias (vea las figuras 32 y 33).
Los antivirus falsos no bloquean la
ejecución del Explorador ni Internet
Explorer, por lo que los nombres de
sus archivos ejecutables (explorer.exe
o iexplorer.exe) pueden utilizarse para
sustituir los nombres de otros ejecutables
bloqueados e intentar ejecutarlos.
ÌÌ Redireccionar páginas web: algunas
familias de antivirus falsos redirigen
las solicitudes web de sitios legítimos
a mensajes de error u otros tipos
de mensajes de advertencia, lo que
aumenta el temor de las víctimas y
las posibilidades de que compren el
antivirus falso (vea la figura 34).
ÌÌ Instalar otros programas maliciosos:
una vez instalados, ciertos antivirus
falsos descargan otros tipos de
malware, por ejemplo, troyanos
bancarios, rootkits o componentes
para el envío de correo no deseado.
Prevención y protección
Existen muchos métodos para bloquear
la entrada de antivirus falsos a través de
Internet y el correo electrónico, y en las
estaciones. Los programas maliciosos son
un problema complejo y la protección del
entorno informático corporativo puede exigir
una atención constante. Pero los programas
antivirus no son suficiente. Para reducir
los riesgos en las empresas, es necesaria
una defensa sólida que impida la entrada
de ataques desde todos los frentes.
La protección más efectiva contra las
amenazas de los antivirus falsos es una
solución de seguridad completa por
capas que pueda detectarlos durante
todas las fases de la infección.
ÌÌ Reducción de la superficie
expuesta a ataques
ÌÌ Protección integral
ÌÌ Bloqueo de ataques
ÌÌ Conservación de la productividad
ÌÌ Formación de los usuarios
Figura 32
Figura 33
Monográficos de Sophos. Enero de 2013.
Figura 34
12
Cómo impedir la entrada de antivirus falsos en las redes
Para crear este tipo de defensa por capas:
Reduzca la superficie expuesta a ataques:
Sophos filtra las direcciones web y bloquea
el correo no deseado para impedir que
los antivirus falsos lleguen a los usuarios.
Mediante el bloqueo de los dominios y las
direcciones web desde las que se descargan
los antivirus falsos, se puede impedir que
las infecciones lleguen a producirse. Los
clientes de Sophos disfrutan de este tipo de
protección gracias a Sophos Web Security
and Control19 y los productos de seguridad
para estaciones más recientes. Sophos Email
Security and Data Protection bloquea los
mensajes de correo electrónico no deseado
que contienen antivirus falsos incluso
antes de que el usuario llegue a verlos20.
Proteja todos los puntos: pero la protección
debe ir más allá y Sophos lo consigue
gracias a las tecnologías de seguridad para
Internet, la protección activa y el cortafuegos.
Sophos Endpoint Security and Control
detecta el contenido de Internet (como el
código JavaScript o HTML) utilizado en las
páginas web de antivirus y códecs falsos.
La detección a este nivel impide que se
descarguen los archivos de los antivirus falsos
(por ejemplo, Mal/FakeAVJs, Mal/VidHtml).
Además, a través de Sophos Live Protection,
Sophos Endpoint Security and Control puede
consultar directamente con SophosLabs
cuando detecta un archivo sospechoso
para determinar si se trata de un antivirus
falso u otro tipo de programa malicioso. De
esta forma, es posible bloquear de forma
automática las brechas de programas
maliciosos nuevos en tiempo real antes
de que lleguen a ejecutarse y reducir
el tiempo que transcurre desde que
SophosLabs descubre un ataque hasta
que los usuarios están protegidos.
Bloquee los ataques: para detener los
ataques, es necesario utilizar aplicaciones
contra programas maliciosos, instalar las
actualizaciones y los parches necesarios
con frecuencia y detectar comportamientos
peligrosos en tiempo real. Para detectar los
archivos de los antivirus falsos de forma activa,
nuestro agente antivirus ofrece protección
total, además de escaneados de bajo impacto
que detectan programas maliciosos, adware,
archivos y comportamientos sospechosos
y programas no autorizados. Gracias a la
tecnología Behavioral Genotype, es posible
detectar miles de archivos de antivirus
falsos con una sola identidad. El número
de muestras detectadas en la actualidad
como variedades de Mal/FakeAV y Mal/
FakeAle supera con creces el medio millón.
Evidentemente, para mantener el software
anti-malware actualizado, que debe aplicarse a
todos los niveles de protección, es importante
instalar los parches y las actualizaciones.
Por su parte, el software antivirus debe
mantenerse al día mediante actualizaciones
automáticas para contar en todo momento
con la protección más reciente. También es
necesario instalar los parches del resto de
programas, como el sistema operativo y las
aplicaciones más utilizadas (por ejemplo,
Adobe Reader), para evitar la aparición de
vulnerabilidades en la seguridad del sistema.
Los ataques cambian continuamente y los
sistemas de protección estáticos no siempre
siguen el ritmo de la aparición de variedades
nuevas. Por eso, es fundamental permitir
las actualizaciones y aplicar los parches
tan pronto como estén disponibles.
La detección en tiempo real es importante
porque, si el ejecutable de un antivirus falso
traspasa las otras capas de protección, el
sistema de prevención contra intrusiones en
el host de Sophos (HIPS) puede detectar y
bloquear el comportamiento del ejemplar
Por último, Sophos Client Firewall puede
mientras intenta ejecutarse en el sistema21. El
configurarse para que bloquee las conexiones
sistema HIPS incluye reglas específicas para
salientes de los programas desconocidos y
detectar y bloquear antivirus falsos. Cuando
evitar que los antivirus falsos conecten con
se detecta un comportamiento peligroso, el
el exterior para recibir descargas o enviar los
programa cierra la aplicación para bloquearla y
datos de las tarjetas de crédito de las víctimas.
proporcionar una capa de protección adicional.
Monográficos de Sophos. Enero de 2013.
13
Cómo impedir la entrada de antivirus falsos en las redes
Conserve la productividad: a los usuarios
no les preocupa demasiado todo esto.
Lo único que les interesa es hacer su
trabajo. Por eso, Sophos ofrece total
transparencia sobre la detección de
antivirus falsos al personal informático,
envía alertas sobre los programas
maliciosos bloqueados y los elimina de
los equipos de los usuarios. Además,
las notificaciones pueden configurarse
para que se envíen solo al equipo de
seguridad o también a los usuarios.
sospechoso y que el departamento
informático se encarga de la protección
antivirus de los equipos. Si tienen cualquier
pregunta sobre la protección antivirus
o aparecen mensajes extraños en sus
equipos, deberían ponerse en contacto
con el personal informático, en lugar de
intentar solucionar cualquier problema
personalmente. Además, es importante
que no acepten nunca escaneados gratuitos
por parte de programas anti-malware que
exijan pagos por la limpieza del sistema.
Las empresas serias no funcionan así y
permiten evaluar sus programas para
probar las funciones de detección y
desinfección antes de comprarlos.
Forme a los usuarios: la educación de los
usuarios es otro componente importante
de la defensa. Recuerde a los usuarios que
no deben hacer clic en ningún elemento
Detención de antivirus falsos
ce
rfa
su
k
ac
Pro
tec
t
URL Filtering
Educate Users
Web Application
Firewall
ev
re
he
yw
er
Re
du
ce
at
t
Protección completa contra una amenaza que prolifera.
Endpoint Web
Protection
Complete
Security
Clean up
Live Protection
ep
br
ea
Ke
ch
es
Anti-malware
rk i
Patch Manager
ng
S to
d
op
Visibility
wo
an
pe
le
tt
pa
ac
ks
Figura 35
Monográficos de Sophos. Enero de 2013.
14
Cómo impedir la entrada de antivirus falsos en las redes
Estos tres consejos adicionales
pueden ayudarle a proteger a los
usuarios de equipos Mac:
ÌÌ Si utiliza Safari, desactive la opción de
apertura de archivos "seguros" tras las
descargas para evitar que los archivos
utilizados normalmente por los creadores
de scareware, como los programas de
instalación comprimidos, se ejecuten
de forma automática al hacer clic por
equivocación en un enlace peligroso.
ÌÌ No dependa completamente del
detector de programas maliciosos
XProtect integrado de Apple. Aunque
ofrece cierta protección, solo detecta
los virus que utilizan técnicas básicas y
en ciertas condiciones. Por ejemplo, los
programas maliciosos ya presentes en
el equipo o procedentes de memorias
USB no se detectarían. Además,
solo se actualiza cada 24 horas, una
frecuencia que ya no es suficiente.
ÌÌ Instale un programa antivirus auténtico.
Curiosamente, la App Store de Apple
no es el lugar más indicado para
buscar una solución: según las reglas
de Apple, los programas antivirus a
la venta en App Store deben excluir
el componente de filtrado basado el
núcleo (conocido como escaneado en
acceso o en tiempo real) necesario para
obtener una prevención antivirus fiable.
Conclusión
Los antivirus falsos siguen siendo una amenaza
predominante y un problema continuo y, dados los beneficios
económicos que obtienen los cibercriminales, es poco
probable que desaparezcan.
Los antivirus falsos ya utilizan una gran variedad de métodos
para su distribución, pero la creatividad de los cibercriminales
no tiene límites.
Por suerte, los usuarios pueden protegerse con una solución
de seguridad completa y por capas, que detecte y defienda
Sophos EndUser Protection
Get a Free Trial
Monográficos de Sophos. Enero de 2013.
15
Cómo impedir la entrada de antivirus falsos en las redes
los sistemas contra los
ataques de antivirus falsos a
todos los niveles posibles.
Referencias
1. Artículo técnico de Sophos "Partnerkas: qué son estas
redes organizadas y qué peligros suponen" http://www.
sophos.com/security/technical-papers/samosseikovb2009-paper.html
2. Blog de SophosLabs sobre la utilización de
actualizaciones de seguridad falsas de Microsoft
en antivirus falsos http://www.sophos.com/blogs/
sophoslabs/?p=8564
3. Blog de SophosLabs sobre el antivirus falso gratuito de
Virus-Total (que no es de VirusTotal)" http://www.sophos.
com/blogs/sophoslabs/?p=8885
4. "Phantom app risk used to bait scareware trap", The
Register, http://www.theregister.co.uk/2010/01/27/
facebook_scareware_scam
5. Blog de Sophos sobre los timos de scareware basados
en el 11 de septiembre http://www.sophos.com/blogs/
gc/g/2009/09/11/scareware-scammers-exploit-911
6. Blog de SophosLabs sobre el antivirus falso que genera
su propio programa malicioso falso http://www.sophos.
com/blogs/sophoslabs/?p=6377
7. Análisis de seguridad de Sophos de Mal/FakeVirPk-A
http://esp.sophos.com/security/analyses/viruses-andspyware/malfakevirpka.html
8. Artículo técnico de SophosLabs "Resultados maliciosos
de búsquedas: ataques automatizados a través de
motores de búsqueda para la distribución de malware"
http://www.sophos.com/sophos/docs/eng/papers/
sophos-seo-insights.pdf
9. Google Trends http://www.google.com/trends
10.Blog de Sophos sobre la distribución de antivirus falsos
a través de Google Talk http://www.sophos.com/blogs/
chetw/g/2010/03/20/google-talk-distribute-fake-av/
11.Blog de SophosLabs sobre la contaminación de SEO
con antivirus falsos http://www.sophos.com/blogs/
sophoslabs/?p=6765
12."New York Times pwned to serve scareware pop-ups",
The Register, http://www.theregister.co.uk/2009/09/14/
nyt_scareware_ad_hack/
13."Scareware Traversing the World via a Web App Exploit",
SANS Institute InfoSec Reading Room, http://www.sans.
org/reading_room/whitepapers/incident/scarewaretraversing-world-web-app-exploit_33333
14.Análisis de seguridad de Sophos de Mal/TDSS-A http://
esp.sophos.com/security/analyses/viruses-and-spyware/
maltdssa.html
Análisis de seguridad de Sophos de Troj/Virtum-Gen
http://esp.sophos.com/security/analyses/viruses-andspyware/trojvirtumgen.html
Análisis de seguridad de Sophos de Mal/WaledPak-A
http://esp.sophos.com/security/analyses/viruses-andspyware/malwaledpaka.html
15."Conficker zombies celebrate ‘activation’ anniversary",
The Register, http://www.theregister.co.uk/2010/04/01/
conficker_anniversary/
16."Guía paso a paso de Control de cuentas de usuario de
Windows", Microsoft TechNet, http://technet.microsoft.
com/es-es/library/cc709691(WS.10).aspx
17. Virus Bulletin http://www.virusbtn.com/
18.West Coast Labs http://www.westcoastlabs.com/
19.Sophos Web Security and Control http://esp.sophos.com/
products/enterprise/web/security-and-control/
20.Sophos Email Security and Data Protection http://esp.
sophos.com/products/enterprise/email/security-andcontrol/
21.Sophos HIPS http://esp.sophos.com/security/sophoslabs/
sophos-hips/index.html
Ventas en España:
Tel.: (+34) 91 375 67 56
Correo electrónico: sales@sophos.com
Boston (EE. UU.) | Oxford (Reino Unido)
© Copyright 2013. Sophos Limited. Todos los derechos reservados.
Todas las marcas registradas pertenecen a sus respectivos propietarios.
Sophos White Paper 1/13.dNA