Esta nueva familia se podría llamar "Ransomware" o "Rogueware". La finalidad de este espécimen, es la de obtener los datos de la tarjeta de crédito de la víctima.
- El troyano ha sido denominado por algunas casas antivirus como Dot-Torrent, aunque otras lo introducen en la familia "FakeAlert", "PrivacyProtector" y "Antipiracy.
- "Aprovecha el "miedo" que han inculcado en el usuario organizaciones como la RIAA, MPAA, Copyright Alliance... para pedir dinero y evitar así un ficticio proceso judicial.
- El troyano se apoyaba en una web (icpp-online.com, actualmente offline) que contenía supuestas noticias que avalaban la existencia del software, informando sobre campañas de concienciación y persecución de los infractores.
CARACTERISTICAS DEL VIRUS:
- El troyano puede llegar al usuario por cualquier medio: vulnerabilidad, ejecución directa, etc. Simula ser un programa de descarga de archivos torrent. Por tanto, el usuario será más tarde acusado de una acción "real": efectivamente, ha descargado contenido "protegido" por medios "ilegales".
- Descarga en tiempo real un componente binario que va modificando sus funcionalidades.
- Contiene su propio desinstalador que funciona correctamente cuando se introduce un código válido.
- Se ejecuta antes de Explorer.exe (de que aparezca el escritorio) así que para usuarios medios que no sepan cargar la lista de tareas y lanzar el escritorio, no hay forma de "escapar".
- Utiliza datos reales que muestra "online" como la dirección IP y una consulta whois a la dirección IP.
- En algunas versiones, busca archivos .torrent por todo el disco duro, los muestra en la pantalla principal y pide una cantidad por cada uno de ellos, en concepto de concienciación por descarga.
- El trabajo estético y de traducción, es simplemente excelente.
- Valida los datos introducidos. De esta forma se controla que, por ejemplo, no se introduzca un número de tarjeta inválido.
- Si se decide no pagar y "pasar el caso a los tribunales", finalmente pide los datos y el correo electrónico, que irán a parar al atacante, pero no desbloquea el sistema.
- La opción "Enter a previously purchased license code" que se observa en la parte inferior derecha, permite introducir efectivamente un código que desinstala el programa. En algunas versiones es RFHM2 TPX47 YD6RT H4KDM, y esto desinstalará por completo el troyano (aunque aun así habrá que ejecutar a mano Explorer.exe).
Fuente: Hispasec