<< Curso de Análisis Forense de dispositivos móviles | Forefront Protection 2010 for Exchange: Filtro de Retrodifusión (5 de 6) >>

La operación LizaMoon fue hecha para instalar un Rogue AV

by Admin 3. abril 2011 07:10

Esta semana la web ha estado revolucionada con el ataque LizaMoon, conocido así por inyectar en más de 600.000 páginas, según las últimas cuentas, una URL que descargaba un fichero desde: http://lizamoon.com/ur.php. En dicho ataque, en el que se vio inmiscuida hasta la propia web de iTunes de Apple, se utilizó un ataque massivo de SQL Injection para modificar el código fuente de las páginas con la inclusión de ese script.

Figura 1: itunes.apple.com afectada
El objetivo era hacer que cada vez que un usuario navegue por una de las páginas web infetadas se le intente ejecutar un viejo Rogue AV al que se le ha lavado la cara. El nombre que se le ha puesto ahora ha sido el de "Windows Stability Center", pero anteriormente se ha distribuido como "Background Protector", "LowLevel Solution", "Emergency System", "Support System", "Simple Protector" o "Power Expansion".

Figura 2: Windows Stability Center

Como todos lso Rogue AV, busca secuestrar los archivos, haciendo creer al usuario que está infectado y le trata de vender la clave de activación del producto. Mientras que no se "active" el producto, el sistema mantendrá bloqueados componentes claves del sistema haciendo que no funcione bien. Mantén actualizado el sistema, tu antimalware con análisis en tiempo real, y sobre todo, no instales ningún antimalware que simule escanear tu sistema visitando una web.

Como desinstalar Windows Stability Center

Una vez que se haya metido en tu equipo, puedes desinstalarlo de varias formas. La manera más sencilla es la siguiente:

- Hacer clic en Inicio/Ejecutar y abrir la carpeta %appdata%/microsoft.
- Allí ir al menú Herramientas/Opciones de Carpeta y seleccionar la opción de mostrar archivos y carpetas ocultas.
- Si estás infectado aparecerá un fichero .exe al que hay que renombrar a cualquier cosa haciendo F2 sobre él.
- Reinicia el equipo.

Una vez hecho este primer proceso, deberás instalarte un antimalware y analizar el equipo completo para que elimine todos los restos del fake AV. Puedes descargar Microsoft Security Essentials y seguir el manual de usuario para hacer el análisis completo de tu equipo. Si quieres más información en la web de HolaCape tienes unos vídeos de cómo hacerlo.