Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

La estafa del MonaRonaDona y el antivirus falso
 
VSantivirus No 2661 Año 11, lunes 10 de marzo de 2008

La estafa del MonaRonaDona y el antivirus falso
http://www.vsantivirus.com/monaronadona.htm

Por Angela Ruiz
angela@videosoft.net.uy

La semana pasada, varios vendedores de antivirus, comenzaron a recibir reportes de un incremento de usuarios infectados por algo llamado "MonaRonaDona virus", una pieza de malware que amenaza con el mal funcionamiento de las computadoras en protesta por la violación de los derechos humanos.

Pero en este caso, solo se trata de un trozo de código relativamente inocuo, creado con la intención de asustar a la gente para que compre un nuevo (y falso), antivirus. Una variante un poco más sofisticado del clásico chantaje con virus como Fenc.A, Cryzip.A, Gpcode.B y otros, que ofrecen instrucciones para reparar los archivos modificados, a cambio de transferir cierta cantidad de dinero a alguna cuenta bancaria.

El mecanismo de infección, parece haber sido la descarga de un falsa herramienta de optimización llamada "RegistryCleaner2008". Al ejecutarse la misma, un archivo de nombre "srvspool.exe" es instalado en la carpeta de inicio de Windows, de tal modo que el virus se vuelve a ejecutar en cada reinicio. Nada sofisticado por cierto.

Lo que pronto queda muy claro, es que el principal objetivo del virus, es llamar la atención sobre si mismo, contrastando con la tendencia de la mayoría del malware moderno, que utiliza a los equipos de los usuarios infectados para obtener ganancias millonarias de múltiples formas, siendo la base de su éxito pasar lo más desapercibidos posible en los equipos infectados.

En este caso, el MonaRonaDona se hace muy visible, porque su objetivo es obtener ganancias con la venta de un supuesto antivirus capaz de eliminarlo. El truco montado, es llevar a los usuarios a buscar en buscadores como Google, información sobre el virus y de como eliminarlo.

Al principio, poca información sobre el MonaRonaDona podía ser encontrada, pero curiosamente una de las entradas llevaba a la página de un muy reciente producto antivirus (unigray.com, actualmente no accesible). En dicha página, una noticia sobre "nuevas amenazas de spyware", mostraba en el primer lugar al MonaRonaDona.

En otras entradas en Google, un blog de alguien que firma como "ParadiseForever" afirma que "el virus de computadora Monaronadona está causando estragos infectando a ordenadores en todo el mundo", y que "la única solución sería instalar un buen paquete de software antivirus." Aunque menciona a productos muy conocidos, el post afirma "que pueden no funcionar con este virus, y que en cambio [el hasta ahora desconocido] Unigray Antivirus es el único capaz de quitarlo". Por supuesto, hay un enlace a la descarga de este falso antivirus.

Pero ese no es el único resultado de la búsqueda. Pronto aparecen otros con alabanzas al Unigray Antivirus, incluido un vídeo de YouTube.

El objetivo final, es que el usuario que desee quitar el virus de su computadora infectada, deberá pagar casi 40 dólares por el Unigray "el único producto capaz de eliminarlo".

No hay que investigar mucho para que resulte claramente sospechoso el hecho que el tal Unigray Antivirus, hace solo un par de semanas no era conocido por nadie, ni existía su sitio web. Y que lo único que "limpia" es al tal MonaRonaDona.

Sobre este tema, el vendedor de seguridad PrevX, ha publicado una fascinante investigación, que revela la historia completa del MonaRonaDona, realizada a partir de las pistas que el mismo código no se preocupa en ocultar, como por ejemplo, un enlace a una compañía de software.

El investigador, incluso llega a comunicarse telefónicamente con el dueño de dicha compañía, una persona residente en Pakistán, la cuál, luego de una curiosa charla, confiesa que llevó a cabo el proyecto a partir de un mensaje recibido a través de Elance.com, un sitio donde programadores "free-lance" pueden ofrecer u obtener trabajos.

El programador también mencionó que se contrató a escritores, a razón de 10 dólares el artículo, para escribir comentarios falsos sobre el MonaRonaDona y Unigray, "y también sobre el RegistryCleaner2008."

Aunque ya nada debería sorprendernos, no deja de ser asombroso hasta que grado de sofisticación se puede llegar para crear este tipo de estafas. 

El MonaRonaDona no causa ningún daño grave al sistema, pero interfiere con su correcto funcionamiento, además de provocar molestias al usuario, influyendo negativamente en la productividad del equipo. El malware no deja que se ejecuten ciertos programas (como el Administrador de tareas de Windows), modifica el título de la ventana del Internet Explorer para incluir su nombre, y muestra una ventana de advertencia.

ESET NOD32 detecta esta amenaza y sus posibles variantes como Win32/Adware.UniGrayAntivirus.


Más información:

MonaRonaDona - We might be in the AV industry, but at least we aren't STUPID!
http://tinyurl.com/3a4pb2

MonaRonaDona Mystery Solved 
http://blog.threatfire.com/2008/03/monaronadona-mystery-solved.html

MonaRonaDona "virus"?
http://www.dslreports.com/forum/r20082590-MonaRonaDona-virus


Relacionados:

Cryzip.A. Pide rescate para recuperar archivos
http://www.vsantivirus.com/cryzip-a.htm

Troj/Gpcode.B. Inutiliza múltiples archivos
http://www.vsantivirus.com/troj-gpcode-b.htm

Un virus secuestra documentos a cambio de rescate
http://www.vsantivirus.com/mm-criptovirus.htm

Nueva formas de hacer dinero ilegal: RansomWare
http://www.eset-la.com/search/results.php?id=1495








(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2008 Video Soft BBS