Antivirus falso

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 14 de abril de 2016; las comprobaciones requieren 54 ediciones .

El pseudo- antivirus (o pseudo- antivirus ) es un programa informático que imita la eliminación de software malicioso o primero infecta y luego elimina [1] . A finales de la década de 2000, la importancia de los antivirus falsos como amenaza para los ordenadores personales aumentó [2] y disminuyó en junio de 2011 [3] . En primer lugar, la aparición de los falsos antivirus se debe al hecho de que en los Estados Unidos han tomado parcialmente el control de la industria del spyware y el adware [4] , y los UAC y los antivirus dejan cada vez menos posibilidades de que el software penetre sin el conocimiento del usuario. . En segundo lugar, hay tantos programas antivirus completos que es difícil recordarlos todos. Entonces, al 17 de enero de 2021 , VirusTotal cuenta con 70 antivirus [5] .

Descripción y método de acción

Los antivirus falsos pertenecen a la categoría de los troyanos [6] , es decir, el propio usuario los conduce a través de los sistemas de seguridad del SO y los antivirus. A diferencia de las " letras nigerianas " (que juegan con la codicia y la compasión ), el phishing y las falsas ganancias de lotería, los antivirus falsos juegan con el miedo a infectar el sistema [7] . Se encuentran con mayor frecuencia bajo la apariencia de ventanas emergentes del navegador web , supuestamente escanean el sistema operativo del usuario e inmediatamente detectan virus y otro malware en él [2] . Para mayor confiabilidad, este proceso también puede ir acompañado de la introducción de uno o más programas de este tipo en el sistema saltando la configuración [6] , especialmente si la computadora tiene protección mínima y fácilmente salteada. Como resultado, la computadora de la víctima comienza a emitir mensajes sobre la imposibilidad de continuar trabajando debido a la infección, y el antivirus falso ofrece persistentemente comprar el servicio o desbloquearlo ingresando los datos de la tarjeta de crédito [8] .

Los primeros antivirus falsos surgieron con el desarrollo de Internet y eran solo ventanas que imitaban el sistema operativo (la mayoría de las veces Windows Explorer y el escritorio de la interfaz de Windows XP ) con sonidos inherentes al cargar y presionar botones. Tales ventanas fueron eliminadas fácilmente por bloqueadores de anuncios como Adblock Plus . En la segunda mitad de la década de 2000, los antivirus falsos se convirtieron en programas completos y comenzaron a hacerse pasar por antivirus reales mediante publicidad agresiva , reseñas de usuarios falsas o incluso "envenenamiento" de los resultados de búsqueda al ingresar palabras clave (incluidos temas no relacionados con la seguridad informática). [9] [10] [11] . Dichos programas fueron concebidos con nombres similares a los nombres de los antivirus reales (por ejemplo, Security Essentials 2010 en lugar de " Microsoft Security Essentials " o AntiVirus XP 2008 en lugar de " Norton AntiVirus ") y funcionaban según el principio de enviar dinero directamente a los distribuidores: redes asociadas para cada instalación exitosa [12 ] .

Estadísticas

A finales de 2008, se descubrió que la red de afiliados que distribuía Antivirus XP 2008 recibía unos 150.000 dólares por su trabajo [13] . En 2010, Google llegó a la conclusión de que la mitad del malware que penetra a través de los anuncios son antivirus falsos [14] . En 2011, el mismo Google excluyó de la búsqueda el dominio co.cc, hosting barato [15] , que albergaba, entre otras cosas, distribuidores de pseudo-antivirus.

Beneficio del distribuidor

Un distribuidor puede beneficiarse de un antivirus malicioso de varias formas.

• Comportamiento típico del malware: robo de cuentas , bloqueo del sistema operativo , explotación de la potencia informática del ordenador , etc.
• El programa puede en " modo de demostración " simular la detección de virus y emitir advertencias de que el sistema operativo no está protegido, y para solucionarlo, solicite registrarse [16] [17] . Para dar la apariencia de una infección, un antivirus falso puede instalar virus reales y luego encontrarlos, desestabilizar artificialmente el sistema operativo cambiando configuraciones críticas e incluso simular "pantallas azules" [2] .
• Un antivirus falso puede pedir dinero para una pseudo-caridad [18] .
• El programa antivirus puede ser real (generalmente basado en ClamAV ), pero su precio suele ser más alto que el precio de los análogos. Por lo general, venden una licencia trimestralmente: para comparar precios, debe leer los términos y conectar la aritmética.

Los signos más simples de un antivirus malicioso

Sitio del distribuidor

• Tratamiento o demostración vía web [19] . Los navegadores web están diseñados para que el sitio no tenga acceso a los archivos que se encuentran en la computadora. Por lo tanto, la desinfección a través de la web es imposible y los servicios de análisis antivirus como VirusTotal no analizan los discos, pero requieren que envíe explícitamente un archivo sospechoso para su análisis. Y la efectividad del antivirus no se correlaciona con la belleza de la interfaz.
• Un gran número de premios inexistentes [19] .
• Un antivirus real no puede garantizar una "cura del 100%". El virus debe ser atrapado "en la naturaleza", uno de los activistas de Internet lo envía a los especialistas en antivirus, lo investigan, y solo después de eso, el virus ingresa a la base de datos. Esto lleva tiempo.
• "Ganchos" en el acuerdo de licencia: o se trata de un "programa de entretenimiento" o el pago se destina al " soporte técnico de ClamAV " [19] .
• Pago a través de SMS . Los antivirus legales prefieren los sistemas de pago y las tarjetas bancarias [19] .

Programa

• Tamaño pequeño del instalador o sin fase de instalación [19] . Cualquier antivirus tiene una gran base de virus: Dr. Web CureToma más de 200 megabytes, una versión similar del antivirus Kaspersky  : alrededor de 150. Algunos antivirus (por ejemplo, Avast ) tienen un instalador de Internet en miniatura, pero luego todos estos megabytes se descargarán de Internet durante la instalación.
• Reconocido por otros antivirus [19] .
• Funciona en un sistema operativo "limpio" instalado desde cero [19] , detecta virus que no son típicos para este sistema operativo (un virus que se propaga en Windows se detecta para Linux ).
• La ventana de UAC es amarilla (programa sin firmar) o azul, pero el propietario está equivocado (clave filtrada). Escribir un antivirus es complejo y costoso, y los desarrolladores de antivirus pueden pagar un certificado por el software.
• Si eres el único administrador de la computadora, un programa que no instalaste. Sin embargo, las utilidades más pequeñas relacionadas con el rendimiento y la seguridad, como los limpiadores de registro, a veces se distribuyen "además".
• Incluso la funcionalidad más simple es de pago, sin periodos de prueba y versiones gratuitas [19] . Se pide dinero para características adicionales: un firewall, un monitor residente, actualizaciones en línea, etc. Y ningún antivirus requiere dinero para eliminar una amenaza.
• Mensajes obsesivos de que la computadora es vulnerable o que necesita comprar un programa, y ​​la mayoría de las veces ambos al mismo tiempo [19] .
• Es posible que falten las funciones más simples inherentes a cualquier programa residente que se precie: detener temporalmente el antivirus, desinstalar el programa utilizando las herramientas estándar del sistema operativo [19] . Puede que no haya otras configuraciones inherentes a un antivirus real (servidores proxy , listas de exclusión) [19] .

Notas

1. ↑ Informe de Symantec sobre software de seguridad falso . Symantec (28 de octubre de 2009). Consultado el 15 de abril de 2010. Archivado desde el original el 13 de agosto de 2012. (indefinido)
2. ↑ 1 2 3 Informe de inteligencia de seguridad de Microsoft volumen 6 (julio - diciembre de 2008) 92. Microsoft (8 de abril de 2009). Consultado el 2 de mayo de 2009. Archivado desde el original el 13 de agosto de 2012. (indefinido)
3. ↑ El negocio de FakeAV está vivo y bien | listasegura . Consultado el 31 de julio de 2020. Archivado desde el original el 21 de octubre de 2020. (indefinido)
4. ↑ Leyden, John Zango se vuelve loco: Fin del mercado de adware de escritorio . El Registro (11 de abril de 2009). Consultado el 5 de mayo de 2009. Archivado desde el original el 13 de agosto de 2012. (indefinido)
5. ↑ El resultado de un escaneo de código abierto de un enlace de teclado que se vio en un registrador de teclas .
6. ↑ 1 2 Doshi, Nishant (2009-01-19), Aplicaciones engañosas - ¡Muéstrame el dinero! , Symantec , < https://forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/53 > . Consultado el 2 de mayo de 2009. (enlace roto)  
7. ↑ La estafa perfecta: revisión de tecnología . Fecha de acceso: 7 de julio de 2011. Archivado desde el original el 29 de enero de 2012. (indefinido)
8. ↑ Noticias Vulnerabilidad de Adobe Reader y Acrobat . blogs.adobe.com. Consultado el 25 de noviembre de 2010. Archivado desde el original el 13 de agosto de 2012. (indefinido)
9. ↑ Chu, Kian & Hong, Choon (2009-09-30), Samoa Earthquake News conduce a Rogue AV , F-Secure , < http://www.f-secure.com/weblog/archives/00001779.html > . Consultado el 16 de enero de 2010. Archivado el 29 de octubre de 2014 en Wayback Machine . 
10. ↑ Hines, Matthew (2009-10-08), Malware Distributors Mastering News SEO , eWeek , < http://securitywatch.eweek.com/seo/malware_distributors_mastering_news_seo.html > . Consultado el 16 de enero de 2010. Archivado el 21 de diciembre de 2009 en Wayback Machine . 
11. ↑ Raywood, Dan (2010-01-15), El antivirus Rogue prevalece en los enlaces relacionados con el terremoto de Haití, ya que se alienta a los donantes a buscar cuidadosamente sitios genuinos , SC Magazine , < http://www.scmagazineuk.com/rogue -anti-virus-prevaleciente-en-enlaces-relacionados-con-el-terremoto-de-haití-como-donantes-animados-a-buscar-cuidadosamente-sitios-genuinos/article/161431/ > . Consultado el 16 de enero de 2010. Archivado el 29 de octubre de 2014 en Wayback Machine . 
12. ↑ Doshi, Nishant (2009-01-27), Aplicaciones engañosas - ¡Muéstrame el dinero! (Parte 3) , Symantec , < https://forums2.symantec.com/t5/blogs/blogprintpage/blog-id/security_risks/article-id/55 > . Consultado el 2 de mayo de 2009. (enlace roto)  
13. ↑ Stewart, Joe (2008-10-22), Rogue Antivirus Dissected - Parte 2 , SecureWorks , < http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus -part-2 > Archivado el 2 de marzo de 2009 en Wayback Machine . 
14. ↑ Moheeb Abu Rayab y Luca Ballard. El efecto Nocebo en la web: un análisis de la distribución de antivirus falsos  (inglés)  : revista. - Google , 2010. - 13 de abril.
15. ↑ Google prohibió los dominios .CO.CC | http ://info.nic.ru_ Fecha de acceso: 7 de octubre de 2013. Archivado desde el original el 29 de octubre de 2014. (indefinido)
16. ↑ "Escaneo de seguridad gratuito" podría costar tiempo y dinero , Comisión Federal de Comercio , 2008-12-10 , < http://www.ftc.gov/bcp/edu/pubs/consumer/alerts/alt121.shtm > . Consultado el 2 de mayo de 2009. Archivado el 15 de noviembre de 2012 en Wayback Machine . 
17. ↑ SAP en una encrucijada después de perder el veredicto de 1300 millones de dólares (enlace no disponible) . yahoo! Noticias (24 de noviembre de 2010). Consultado el 25 de noviembre de 2010. Archivado desde el original el 13 de agosto de 2012. (indefinido) 
18. ↑ CanTalkTech - Fake Green AV se disfraza de software de seguridad con una causa (enlace descendente) . Consultado el 2 de julio de 2011. Archivado desde el original el 8 de julio de 2011. (indefinido) 
19. ↑ 1 2 3 4 5 6 7 8 9 10 11 Kaspersky Lab sobre antivirus falsos . Fecha de acceso: 4 de mayo de 2014. Archivado desde el original el 28 de mayo de 2015. (indefinido)

Enlaces

• Howes, Eric L (2007-05-04), Spyware Warrior: Sitios web y productos antispyware falsos/sospechosos , < http://www.spywarewarrior.com/rogue_anti-spyware.htm > . Consultado el 2 de mayo de 2009. 
• (es) Lista_de_software_de_seguridad_rogue , < https://en.wikipedia.org/wiki/List_of_rogue_security_software > 
• Kaspersky Lab: software de seguridad falso , < http://support.kaspersky.ru/viruses/rogue > . Consultado el 24 de abril de 2012. 

Software malicioso
Malware infeccioso	Virus de computadora gusano de red troyano virus de arranque Virus por lotes Historia
Ocultar métodos	Puerta trasera Cuentagotas Marcador Criptador computadora zombi Polimorfismo rootkit
Malware con fines de lucro	publicidad Software invasivo de privacidad Ransomware ( Trojan.Winlock ) software espía Bot red de bots Amenazas web registrador de teclas capturador de formas Scareware ( antivirus falso ) Marcador porno
Por sistemas operativos	software malicioso de linux Virus para Palm OS macrovirus virus movil
Proteccion	Computación defensiva Programa antivirus cortafuegos Sistema de detección de intrusos Prevención de fugas de información Cronología de los antivirus
contramedidas	Coalición Anti Spyware vigilancia informática tarro de miel Operación: Asado Bot

Distribución de software
Licencias	libre Gratis y abierto Libre abierto propiedad En el dominio público
Modelos de ingresos	Libre gratuito Shareware publicidad demostración donaciones Nagware postales Comercial
Métodos de envío	En las instalaciones pre instalado Paquete SaaS (Software bajo demanda) Software más servicios
Fraudulento/ilegal	Malware gusanos troyano software espía Antivirus falso artículos de vapor
Otro	Abandonware Activación del producto Palas legalización de software Trabajar con un titular de derechos de autor inaccesible