El informe de esta semana de PandaLabs incluye información sobre el falso antivirus  SaveSoldier y el gusano Ramson.G

El primer malware es un ejemplo más de los programas maliciosos que se hacen pasar por aplicaciones legítimas de software y tratan de robar dinero de los usuarios de ordenadores haciéndoles creer que van a eliminar amenazas que realmente no existen.  Puede ampliar información sobre ellos leyendo el Informe escrito por Luis Corrons y Sean-Paul Corell, investigadores de PandaLabs, llamado “El negocio de los falsos antivirus”, disponible en: http://www.pandasecurity.com/img/enc/El%20Negocio%20de%20los%20falsos%20antivirus.pdf

La finalidad del antivirus recae en la recopilación de los datos personales y bancarios facilitados por el usuario en el momento de la compra. Solicita la instalación del software para la resolución de problemas debidos al software dañino encontrado en el sistema.  Tras su instalación procede a realizar un escaneo del sistema en busca del software infectado  (ver imagen en: http://www.flickr.com/photos/panda_security/3861789296/) y muestra un interfaz muy parecido al de cualquier sistema de detección de software infectado (ver imagen en: http://www.flickr.com/photos/panda_security/3861006503/)

El falso antivirus informa de varios ficheros infectados y para limpiarlos solicita un código que solo facilitará previa compra del pack antivirus (ver imagen en: http://www.flickr.com/photos/panda_security/3861006531/). Para ello una vez aceptada la solicitud del código de registro redirigirá a una página de comprar vía tarjeta de crédito (ver imagen en: http://www.flickr.com/photos/panda_security/3861006571/) y muestra diferentes alertas informándonos de problemas con malware, errores de registro etc…

El segundo ejemplar es el gusano Ramson.G, que aparece en la pantalla con un icono de un fichero ejecutable y lanza constantemente el taskkill de Windows para eliminar procesos, pasando diferentes comandos. Cuando se reinicia el ordenador, muestra un mensaje en ruso, (ver imagen en: http://www.flickr.com/photos/panda_security/3861789428/) y solicita meter un código para poder entrar en el sistema. Después de introducir el código muestra otro mensaje e inicia el sistema (ver: http://www.flickr.com/photos/panda_security/3861789446/).

Se  propaga a través de unidades mapeadas, unidades compartidas y a traves de unidades extraíbles. Para la autoejecución del malware a través de estas unidades utiliza un fichero de configuración propio autorun.inf.

Puede obtener más información sobre estos y otros ejemplares de malware aquí: http://www.pandasecurity.com/spain/homeusers/security-info/latest-threats/?sitepanda=particulares