PandaLabs ha registrado la aparición de un nuevo código malicioso que se
aprovecha de la popularidad de los principales buscadores de Internet, Adware/PremiumSearch,
en lo que parece una reedición de las acciones del gusano detectado la semana
pasada, que entonces modificaba los enlaces patrocinados mostrados en una
búsqueda con Google.
En este caso, la infección proviene de la visita de una página web, redirigido
desde otras páginas con contenido warez (versiones ilegales de programas) o para
adultos. En esta misma página, además de PremiumSearch, en el equipo del usuario
se instala Application/WorldAntiSpy, y se infecta además con una variante de
Smitfraud, que hacen creer al usuario que su equipo posee una serie de amenazas,
y le requieren que pague para poder desinfectarse.
La infección de PremiumSearch comienza con la instalación en el equipo de un
fichero BHO (Browser Helper Object) malicioso, por medio de algunas de las
vulnerabilidades más utilizadas para la instalación de spyware, como ByteVerify,
LoadImage, y Mhtredir. De este modo, se llevan a cabo dos acciones principales:
la instalación de una barra de herramientas de Google (no proveniente de la
propia Google, sino modificada por terceros), y la modificación del archivo
HOSTS. Además, el fichero BHO hace que se muestre como página de inicio la del
buscador PremiumSearch, pese a que el usuario especifique otra en la
configuración del navegador.
La modificación del HOSTS y la acción del BHO hacen que los usuarios que
soliciten las páginas de los buscadores MSN, Yahoo! y Google (en sus versiones
para más de 60 países) obtengan una versión falseada, indistinguible de la
original salvo porque mostrará una serie de resultados modificados en primer
lugar, y posteriormente los que normalmente mostrarían estos buscadores. Además,
al realizar búsquedas sobre la falsa barra de Google también muestra este mismo
comportamiento, con resultados alterados. Este código malicioso también contiene
capacidad para operar sobre el buscador Alexa, pero no funciona correctamente en
los sistemas probados. La página de la que se obtienen las versiones falseadas
está alojada en EEUU.
“El principal objetivo de estas acciones es aumentar el número de visitas a
las páginas de los resultados modificados, con el beneficio económico que
supone, aprovechándose de forma malintencionada del prestigio de estos
buscadores, que hacen que un usuario medio confíe en la validez y utilidad de
los enlaces mostrados en ellos”, comenta Luis Corrons, director de PandaLabs.
“Para evitar este tipo de infecciones, es fundamental mantener el equipo
actualizado, ya que en muchas ocasiones las vulnerabilidades que utilizan para
propagarse son muy antiguas, y poseer una eficaz protección antivirus”.
Desde Panda Software ya se ha contactado con el ISP donde están alojadas las
páginas que forman parte de la infección, con el fin de neutralizar esta
amenaza. |