7 de agosto de 2010

VIDEO:"DOT-TORRENT", UTILIZA EL MIEDO A LAS DESCARGAS "ILEGALES"

Esta nueva familia se podría llamar "Ransomware" o "Rogueware". La finalidad de este espécimen, es la de obtener los datos de la tarjeta de crédito de la víctima.

  • El troyano ha sido denominado por algunas casas antivirus como Dot-Torrent, aunque otras lo introducen en la familia "FakeAlert", "PrivacyProtector" y "Antipiracy.
  • "Aprovecha el "miedo" que han inculcado en el usuario organizaciones como la RIAA, MPAA, Copyright Alliance... para pedir dinero y evitar así un ficticio proceso judicial.
  • El troyano se apoyaba en una web (icpp-online.com, actualmente offline) que contenía supuestas noticias que avalaban la existencia del software, informando sobre campañas de concienciación y persecución de los infractores.

CARACTERISTICAS DEL VIRUS:

  1. El troyano puede llegar al usuario por cualquier medio: vulnerabilidad, ejecución directa, etc. Simula ser un programa de descarga de archivos torrent. Por tanto, el usuario será más tarde acusado de una acción "real": efectivamente, ha descargado contenido "protegido" por medios "ilegales".
  2. Descarga en tiempo real un componente binario que va modificando sus funcionalidades.
  3. Contiene su propio desinstalador que funciona correctamente cuando se introduce un código válido.
  4. Se ejecuta antes de Explorer.exe (de que aparezca el escritorio) así que para usuarios medios que no sepan cargar la lista de tareas y lanzar el escritorio, no hay forma de "escapar".
  5. Utiliza datos reales que muestra "online" como la dirección IP y una consulta whois a la dirección IP.
  6. En algunas versiones, busca archivos .torrent por todo el disco duro, los muestra en la pantalla principal y pide una cantidad por cada uno de ellos, en concepto de concienciación por descarga.
  7. El trabajo estético y de traducción, es simplemente excelente.
  8. Valida los datos introducidos. De esta forma se controla que, por ejemplo, no se introduzca un número de tarjeta inválido.
  9. Si se decide no pagar y "pasar el caso a los tribunales", finalmente pide los datos y el correo electrónico, que irán a parar al atacante, pero no desbloquea el sistema.
  10. La opción "Enter a previously purchased license code" que se observa en la parte inferior derecha, permite introducir efectivamente un código que desinstala el programa. En algunas versiones es RFHM2 TPX47 YD6RT H4KDM, y esto desinstalará por completo el troyano (aunque aun así habrá que ejecutar a mano Explorer.exe).

Fuente: Hispasec