Expertos en seguridad han detectado un adware que se ha convertido en un troyano y que evita que se instalen herramientas de seguridad en el equipo utilizando certificados y el control de cuentas de Windows. Se le conoce con el nombre de Vonteera.
Hace cuatro años, los investigadores lo analizaron y determinaron que se trataba de un simple
adware. Tras varios años con muy poca repercusión en
Internet, los responsables de este han tomado la decisión de modificar el
código y convertirlo en un auténtico troyano que puede resultar muy peligroso
si no hemos instalado una herramienta de seguridad.
Vonteera, que así es como se ha bautizado, una vez se instala en el equipo realiza la modificación de los permisos de la cuenta del usuario evitando que las herramientas de seguridad se instalen. Para asegurarse de que esto no se produzca recopila la información de 13 certificados que pertenecen a antivirus y ubicándolos en una lista negra.
Los certificados que se han visto afectados son: Avast, AVG, Avira,
Baidu, Bitdefender, ESET, ESS Distribution, Lavasoft, Malwarebytes, McAffee, Panda
Security, TreatTrack Security y Trend Micro.
Vonteera inyecta su código en los navegadores web
- Tras garantizar que el usuario no instale herramientas de seguridad, el troyano se encarga de inyectar su código en los navegadores web instalados para mostrar de forma periódica anuncios que distribuyen software no deseados. Internet Explorer, Chrome, Safari, Opera o Firefox se pueden ver afectados por igual, tal y como han detallados los expertos en seguridad. Está claro que la amenaza no es capaz de desactivar las herramientas de seguridad, por lo tanto, el problema para el usuario radica en que esta sea capaz de esquivar éstas o bien que llegue al equipo y en este no exista una ya instalada, siendo imposible para el usuario instalarla.
- Si existe un antivirus en el sistema es probable que este detecte la presencia de este y bloquee su instalación. Sin embargo, en el caso de no disponer uno y sufrir la infección será necesario restaurar el sistema a un estado anterior.
- Lo que aún no está del todo claro es la vía de difusión de esta amenaza, creyendo desde las empresas de seguridad que la descarga de aplicaciones desde páginas web infectadas podría ser el origen.
