MALWARE SE DISFRAZA COMO INSTALADOR DE WINDOWS

El malware se disfraza como instalador de Windows en un cuadro de dialogo de Guardar como

El malware se distribuye a través de programas de afiliación y liado con otras aplicaciones es utilizao como una táctica desviada para engañar a los usuarios para instalarlo en sus sistemas

Detectado este mes por los analistas de malware de Dr.Web, el nombre del malware es Ticno (Trojan.Ticno.1537), ya pesar de sus tácticas de sombra, esta amenaza viene con características anti-detección.

Ticno NO es su programa de descarga de software malicioso, escucha ciegamente a las instrucciones e instala su carga útil en cada sistema.

Este malware viene embalado con las características que escanean el sistema del huésped potencial con el fin de determinar si el equipo es un PC real, o una máquina virtual utilizado por los investigadores de seguridad para escanear y analizar el malware.

De acuerdo con Dr.Web, realiza exploraciones de malware en los siguientes procesos: irise.exe, IrisSvc.exe, wireshark.exe, ZxSniffer.exe, Regshot.exe, ollydbg.exe, PEBrowseDbg.exe, Syser.exe, VBoxService.exe, VBoxTray.exe, SandboxieRpcSs.exe, SandboxieDcomLaunch.exe, windbg.exe, ollydbg.exe, vmtools.exe

Además, escanea las computadoras para las siguientes claves de registro:

  • HKCU\Software\CommView
  • HKLM\SYSTEM\CurrentControlSet\Services\IRIS5
  • HKCU\Software\eEye Digital Security
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wireshark
  • hklm\SOFTWARE\ZxSniffer
  • HKCU\Software\Win Sniffer
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\APIS32
  • HKCU\Software\Syser Soft
  • hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions
  • HKLM\SYSTEM\CurrentControlSet\Services\VBoxGuest
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sandboxie
  • HKCU\Software\Classes\Folder\shell\sandbox
  • HKCU\Software\Classes\*\shell\sandbox

Si hay más de tres de estas comprobaciones tienen éxito, Ticno detiene su ejecución y se inicia el proceso de Explorador de Windows como un señuelo.

Sin embargo, si pasan estos controles, Ticno muestra un "Guardar como" ventana de diálogo que le pregunta al usuario guardar un archivo en su computadora llamado 1.zip.

Un usuario experimentado encontrará muy preocupante que se le pide que guarde un archivo ZIP en el disco de la nada, o durante la instalación de otro programa.

Por desgracia, el malware nunca tuvo la intención de infectar a los usuarios inteligentes conocedores de la tecnología, y habrá personas que hagan clic en el botón Guardar.

Pero hay un indicio de que regala este falso "Guardar como" ventana emergente, y eso es un eslabón en la esquina inferior izquierda de la ventana que dice "ajustes adicionales."

La presencia de este enlace, especialmente en una ventana "Guardar como" cuadro de diálogo es muy visible. Al hacer clic en el enlace revela la verdadera naturaleza de esta ventana.

Esto nos lleva a otro emergente, una página clásico incluido en todos los paquetes de instaladores, lo que permite a los usuarios seleccionar cuál de los programas incluidos desean instalar.

Ticno utiliza las extensiones de programas publicitarios y Chrome

De acuerdo con Dr.Web, esta ventana incluye opciones de instalación para todo tipo de adware, envasados ​​como software para Windows o extensiones de Chrome.

La lista incluye Trojan.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1, y Adware.Plugin.1400.

Si los usuarios no pueden detectar este enlace y pulse el botón Guardar, el "Guardar como" muestra su verdadero rostro y se transforma en un instalador.


Fecha actualización el 2016-12-20. Fecha publicación el 2016-12-20. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio
instalador de Windows