Noticias relacionadas Ver en vídeo como actúa este código malicioso

PandaLabs ha registrado la aparición de un nuevo código malicioso que se aprovecha de la popularidad de los principales buscadores de Internet, Adware/PremiumSearch, en lo que parece una reedición de las acciones del gusano detectado la semana pasada, que entonces modificaba los enlaces patrocinados mostrados en una búsqueda con Google.

En este caso, la infección proviene de la visita de una página web, redirigido desde otras páginas con contenido warez (versiones ilegales de programas) o para adultos. En esta misma página, además de PremiumSearch, en el equipo del usuario se instala Application/WorldAntiSpy, y se infecta además con una variante de Smitfraud, que hacen creer al usuario que su equipo posee una serie de amenazas, y le requieren que pague para poder desinfectarse.

La infección de PremiumSearch comienza con la instalación en el equipo de un fichero BHO (Browser Helper Object) malicioso, por medio de algunas de las vulnerabilidades más utilizadas para la instalación de spyware, como ByteVerify, LoadImage, y Mhtredir. De este modo, se llevan a cabo dos acciones principales: la instalación de una barra de herramientas de Google (no proveniente de la propia Google, sino modificada por terceros), y la modificación del archivo HOSTS. Además, el fichero BHO hace que se muestre como página de inicio la del buscador PremiumSearch, pese a que el usuario especifique otra en la configuración del navegador.

La modificación del HOSTS y la acción del BHO hacen que los usuarios que soliciten las páginas de los buscadores MSN, Yahoo! y Google (en sus versiones para más de 60 países) obtengan una versión falseada, indistinguible de la original salvo porque mostrará una serie de resultados modificados en primer lugar, y posteriormente los que normalmente mostrarían estos buscadores. Además, al realizar búsquedas sobre la falsa barra de Google también muestra este mismo comportamiento, con resultados alterados. Este código malicioso también contiene capacidad para operar sobre el buscador Alexa, pero no funciona correctamente en los sistemas probados. La página de la que se obtienen las versiones falseadas está alojada en EEUU.

“El principal objetivo de estas acciones es aumentar el número de visitas a las páginas de los resultados modificados, con el beneficio económico que supone, aprovechándose de forma malintencionada del prestigio de estos buscadores, que hacen que un usuario medio confíe en la validez y utilidad de los enlaces mostrados en ellos”, comenta Luis Corrons, director de PandaLabs. “Para evitar este tipo de infecciones, es fundamental mantener el equipo actualizado, ya que en muchas ocasiones las vulnerabilidades que utilizan para propagarse son muy antiguas, y poseer una eficaz protección antivirus”.

Desde Panda Software ya se ha contactado con el ISP donde están alojadas las páginas que forman parte de la infección, con el fin de neutralizar esta amenaza.