miércoles, 23 de febrero de 2011

Dando caza a System Tool

Miedo da ese día en el que te sientas enelpc y te encuentras con que tu antivirus ha detectado un troyano, notas como ese cosquilleo de nerviosismo te atrapa mientras olisqueas entre los recovecos del sistema para ver de donde viene la infección y que rastros dejó el bichito a su paso. El problema puede llegar a multiplicarse cuando en vez de un troyano el antivirus encontró 38, pero lo peor llega cuando encima te soborna pidiéndote dinero a cambio de eliminarlos mientras te cambia tu vistoso fondo de pantalla, con esa foto que le echaste al Papa Noel del Caprabo cuando volvía a casa en metro, por esta otra.




¿Pero será cabrón? ¿Y Santa?

Llegó System Tool, la herramienta Rogueware capaz de desplumarte la tarjeta de crédito en lo que tardes en rellenar el pago de la licencia.

Dicho malware se instala en "%AllUsersProfile%\Application Data\" con un nombre de carpeta y ejecutable alfanumérico y aleatorio. A su vez, crea claves de registro en HKEY_CURRENT_USER y HKEY_LOCAL_MACHINE para asegurarse el inicio automático después de cada reinicio.

Según fuentes de Emsisoft, se alberga en estas rutas y registros.

Create new files:
  • %AllUsersProfile%\Application Data\%random%\
  • %AllUsersProfile%\Application Data\%random%\%random%.exe
  • %AllUsersProfile%\Application Data\%random%\%random%
  • %UserProfile%\Desktop\System Tool 2011.lnk
  • %UserProfile%\Start Menu\Programs\System Tool\
  • %UserProfile%\Start Menu\Programs\System Tool\System Tool 2011.lnk
Create new registry entries:
  • HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\System Tool2011
    (SZ) DisplayName = System Tool2011
    (SZ) ShortcutPath = %UserProfile%\Start Menu\Programs\System Tool\System Tool 2011.lnk
    (SZ) UninstallString = %UserProfile%\Start Menu\Programs\System Tool\System Tool 2011.lnk
    (SZ) DisplayIcon = %AllUsersProfile%\Application Data\%random%\%random%.exe,0

  • HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\RunOnce
    (SZ) %random% = %AllUsersProfile%\Application Data\%random%\%random%.exe


El falso antivirus agrega nombres de ejecutables supuestamente infectados a su listado de detecciones, mostrando el riesgo que corre el sistema con esos archivos, cuando termina el escaneo, la cifra de virus encontrada, es siempre 38.




Pues todo el proceso está altamente destinado para llegar a un mismo puerto, el robo de los credenciales bancarios del usuario.




Tirando de ingeniería social, los desarrolladores se aprovechan para crear malware no tan sofisticado como en otras ocasiones, pero seguramente más acertado a la hora de conseguir sus propósitos.

Para eliminar este tipo de software dañino, existen herramientas como la presentada en el anterior tema sobre los Rogueware, aunque nada mejor que un buen antivirus actualizado.

Saludos 4n4les!

No hay comentarios:

Publicar un comentario en la entrada