stringtranslate.com

Reparador de Windows

WinFixer [a] era una familia de programas de seguridad falsos de tipo scareware desarrollados por Winsoftware que afirmaban reparar problemas del sistema informático en equipos con Microsoft Windows si un usuario compraba la versión completa del software. El software se instalaba principalmente sin el consentimiento del usuario. [1] McAfee afirmó que "la función principal de la versión gratuita parece ser la de alertar al usuario para que pague por el registro, al menos parcialmente basándose en detecciones falsas o erróneas". [2] El programa incitaba al usuario a comprar una copia paga del programa. [3]

La página web de WinFixer (ver la imagen) afirma que "es una utilidad útil para escanear y reparar cualquier error del sistema, del registro y del disco duro. Garantiza la estabilidad y el rendimiento del sistema, libera espacio desperdiciado en el disco duro y recupera archivos de Word, Excel, música y vídeo dañados". Sin embargo, estas afirmaciones nunca fueron verificadas por ninguna fuente fiable. De hecho, la mayoría de las fuentes consideraron que este programa en realidad reducía la estabilidad y el rendimiento del sistema. Los sitios dejaron de funcionar en diciembre de 2008 después de las medidas adoptadas por la Comisión Federal de Comercio .

Métodos de instalación

Ejemplo de un cuadro de diálogo emergente de WinFixer en Opera . Incluso si se hiciera clic en los botones Cancelar o Cerrar para cerrar el cuadro, se redirigiría de todos modos a una página de WinAntiVirus que presentaba un análisis falso del sistema.

Se sabía que la aplicación WinFixer infectaba a los usuarios que utilizaban el sistema operativo Microsoft Windows y no dependía del navegador. Un método de infección implicaba el troyano Emcodec.E , una estafa de códecs falsos . Otro implicaba el uso de la familia de troyanos Vundo . [4]

Infección típica

La infección se producía normalmente durante una visita a un sitio web de distribución mediante un navegador web. Aparecía un mensaje en un cuadro de diálogo o una ventana emergente que preguntaba al usuario si quería instalar WinFixer, o bien afirmaba que el equipo de un usuario estaba infectado con malware y solicitaba al usuario que ejecutara un análisis gratuito. Cuando el usuario elegía alguna de las opciones o intentaba cerrar este cuadro de diálogo (haciendo clic en "Aceptar" o "Cancelar" o haciendo clic en la esquina "X"), se activaba una ventana emergente y WinFixer se descargaba e instalaba automáticamente, independientemente de los deseos del usuario.

Mensaje inicial antes de la infección: un usuario que desee evitar la infección podría querer desconectarse de Internet antes de cerrar el cuadro de diálogo.

Oferta de "prueba"

En ocasiones, en las ventanas emergentes aparecía una oferta de "prueba" gratuita de este programa. Si se descargaba e instalaba la versión de "prueba", se ejecutaba un "escaneo" del equipo local y se "descubrían" un par de troyanos y virus inexistentes, pero el programa no realizaba ninguna acción adicional. Para obtener una cuarentena o eliminación, WinFixer exigía la compra del programa. [5] Sin embargo, los supuestos errores no deseados eran falsos y solo servían para persuadir al propietario de comprar el programa.

Aplicación WinFixer

Una vez instalado, WinFixer aparecían ventanas emergentes con frecuencia y solicitaba al usuario que siguiera sus instrucciones. Debido a la intrincada forma en que el programa se instalaba en el equipo anfitrión (incluida la realización de docenas de modificaciones en el registro), la eliminación exitosa habría llevado bastante tiempo si se hubiera realizado de forma manual. Al ejecutarse, su proceso se podía encontrar en el administrador de tareas y se detenía, pero se reiniciaba automáticamente después de un período de tiempo.

También se sabía que WinFixer modificaba el Registro de Windows para que se iniciara automáticamente con cada reinicio y escaneara la computadora del usuario. [6]

Ventana emergente de Firefox

El navegador Mozilla Firefox fue vulnerable a una infección inicial por parte de WinFixer. Una vez instalado, se sabía que WinFixer explotaba la extensión SessionSaver para el navegador Firefox . El programa provocaba ventanas emergentes cada vez que se iniciaba el programa solicitando al usuario que descargara WinFixer, añadiendo líneas que contenían la palabra "WinFixer" al archivo prefs.js.

Eliminación

La eliminación de WinFixer resultó difícil porque deshacía activamente todo lo que el usuario intentaba hacer. Con frecuencia, los procedimientos que funcionaban en un sistema no funcionaban en otro porque existía una gran cantidad de variantes. Algunos sitios proporcionaban técnicas manuales para eliminar infecciones que las herramientas de limpieza automática no podían eliminar. [7]

Titularidad del dominio

La empresa que creó WinFixer, Winsoftware Ltd., afirmó tener su sede en Liverpool, Inglaterra (Stanley Street, código postal: 13088). Sin embargo, se demostró que esta dirección era falsa. [8]

El dominio WINFIXER.COM en la base de datos whois mostraba que era propiedad de una empresa vacía en Ucrania y otra en Varsovia , Polonia . [9] Según Alexa Internet , el dominio era propiedad de Innovative Marketing, Inc., 1876 Hutson St, Honduras.

Según el certificado de clave pública proporcionado por GTE CyberTrust Solutions , Inc., el servidor secure.errorsafe.com era operado por ErrorSafe Inc. en 1878 Hutson Street, Belize City, BZ.

Al ejecutar traceroute en dominios Winfixer se mostró que la mayoría de los dominios estaban alojados en servidores en setupahost.net, que utilizaban Shaw Business Solutions, también conocido como Bigpipe, como su columna vertebral.

Información técnica

Técnico

WinFixer estaba estrechamente relacionado con el programa espía/secuestrador Nail.exe de Aurora Network. En el peor de los casos, se incrustaba en Internet Explorer y se convertía en parte del programa, por lo que era casi imposible eliminarlo. El programa también estaba estrechamente relacionado con el troyano Vundo . [4] [10]

Variantes

Policía de Windows Pro

Windows Police Pro era una variante de WinFixer. [11] David Wood escribió en Microsoft TechNet que en marzo de 2009, el Centro de protección contra malware de Microsoft detectó ASC Antivirus, la primera versión del virus. Microsoft no detectó ningún cambio en el virus hasta finales de julio de ese año, cuando apareció una segunda variante, Windows Antivirus Pro. Aunque desde entonces han aparecido varias versiones nuevas del virus, el virus ha cambiado de nombre solo una vez, a Windows Police Pro. Microsoft agregó el virus a su herramienta de eliminación de software malintencionado en octubre de 2009. [12]

El virus generó numerosas ventanas emergentes y mensajes persistentes que mostraban informes de análisis falsos destinados a convencer a los usuarios de que sus equipos estaban infectados con diversas formas de malware que no existen. Cuando los usuarios intentaban cerrar el mensaje emergente, recibían cuadros de diálogo de confirmación que alternaban los botones "Comprar la versión completa" y "Continuar la evaluación". [12] Windows Police Pro generó un Centro de seguridad de Windows falso que advertía a los usuarios sobre el malware falso. [13]

Bleeping Computer y la columna sindicada "Propeller Heads" recomendaron usar el Anti-Malware de Malwarebytes para eliminar Windows Police Pro de forma permanente. [12] [14] Microsoft TechNet y Softpedia recomendaron usar la herramienta de eliminación de software malintencionado de Microsoft para deshacerse del malware. [12] [15]

Efectos sobre el público

Demanda colectiva

El 29 de septiembre de 2006, una mujer de San José presentó una demanda por WinFixer y un "fraudware" relacionado en el Tribunal Superior del Condado de Santa Clara ; sin embargo, en 2007 la demanda fue desestimada. En la demanda, los demandantes alegaron que el software WinFixer "finalmente dejó inutilizable el disco duro de su computadora. El programa que infectó su computadora también expulsó su unidad de CD-ROM y mostró advertencias de virus". [16] [17] [18]

Anuncios en Windows Live Messenger

El 18 de febrero de 2007, un blog llamado "Spyware Sucks" informó que la popular aplicación de mensajería instantánea Windows Live Messenger había promocionado inadvertidamente WinFixer al mostrar un anuncio de WinFixer de uno de los hosts de anuncios de Messenger . [19] También se informó de un incidente similar en algunas páginas de MSN Groups . Hubo otros informes antes de este (uno de Patchou, el creador de Messenger Plus! ), y la gente se había puesto en contacto con Microsoft sobre los incidentes. Whitney Burk de Microsoft publicó este problema en su declaración oficial:

Microsoft recibió una notificación sobre malware que se estaba distribuyendo a través de anuncios colocados en banners de Windows Live Messenger. Como resultado de esta notificación, investigamos de inmediato los informes y eliminamos los anuncios ofensivos, ya que esto es una violación de nuestra política de distribución de anuncios. Podemos confirmar que los anuncios ya no se distribuyen en ningún sistema de Microsoft. Pedimos disculpas por las molestias y estamos revisando nuestro proceso de aprobación de anuncios para reducir la posibilidad de que vuelva a ocurrir un incidente como este. Para ayudar a los clientes a proteger sus equipos contra amenazas de malware, Microsoft recomienda que sigan nuestra guía Proteja su equipo en www.microsoft.com/protect.

—  Whitney Burk, Microsoft

Comisión Federal de Comercio

El 2 de diciembre de 2008, la Comisión Federal de Comercio solicitó y recibió una orden de restricción temporal contra Innovative Marketing, Inc., ByteHosting Internet Services, LLC y los individuos Daniel Sundin, Sam Jain , Marc D'Souza, Kristy Ross y James Reno, los creadores de WinFixer y sus productos hermanos. La denuncia alegaba que la publicidad de los productos, así como los productos mismos, violaban las leyes de protección al consumidor de los Estados Unidos. [20] Sin embargo, Innovative Marketing desobedeció la orden judicial y fue multada con $8,000 por día en desacato civil. [21]

El 24 de septiembre de 2012, la Comisión Federal de Comercio multó a Kristy Ross con 163 millones de dólares por su participación en este asunto. [22] [23] El artículo continúa diciendo que la familia de software WinFixer era simplemente una estafa, pero no reconoce que, de hecho, era un programa que inutilizaba muchas computadoras.

Notas

  1. ^ También conocido con otros nombres, entre ellos AVSystemCare, DriveCleaner, ECsecure, ErrorProtector, ErrorSafe, FreePCSecure, Home Antivirus 20xx, PCTurboPro, Performance Optimizer, Personal Antivirus, PrivacyProtector, StorageProtector, SysProtect, SystemDoctor, VirusDoctor, WinAntiSpy, WinAnti Spyware , WinAntiVirusPro, Windows Police Pro, WinReanimator, WinSoftware, WinspywareProtect, XPAntivirus y Your PC Protector.

Referencias

  1. ^ "Winfixer". F-secure.com . Consultado el 14 de agosto de 2014 .
  2. ^ "Ataques de virus informáticos, información, noticias, seguridad, detección y eliminación | McAfee". Us.mcafee.com . Consultado el 14 de agosto de 2014 .
  3. ^ "WinFixer". Symantec. Archivado desde el original el 24 de marzo de 2008. Consultado el 14 de agosto de 2014 .
  4. ^ ab "Cómo eliminar WinFixer / Virtumonde / Msevents / Trojan.vundo". Bleepingcomputer.com . Consultado el 14 de agosto de 2014 .
  5. ^ Vincentas (6 de julio de 2013). "WinFixer en SpyWareLoop.com". Spyware Loop . Consultado el 28 de julio de 2013 .
  6. ^ "WinFixer 2005, WinFixer 2006". www.stopbadware.org . Archivado desde el original el 18 de noviembre de 2007.
  7. ^ "Eliminación manual del virus WinFixer: variante Vundo". 2006.
  8. ^ "Virus "winfixer" "winsoftware" crimen rin". Archivado desde el original el 2007-07-09.
  9. ^ "Herramientas DNS - Administrar Monitorear Analizar - DNSstuff". www.dnsstuff.com .
  10. ^ "Vundo". Archivado desde el original el 30 de septiembre de 2007. Consultado el 26 de febrero de 2006 .
  11. ^ Long, Daniel (2009-10-02). "Antivirus falsos: 5 programas que definitivamente NO deberías instalar". PC & Tech Authority . nextmedia . Archivado desde el original el 2009-10-04 . Consultado el 2014-12-02 .
  12. ^ abcd Wood, David (13 de octubre de 2009). "Scanti-ly Clad - Another Rogue Stripped by MSRT" (Scanti-ly Clad: otro rebelde despojado por MSRT). Microsoft TechNet . Archivado desde el original el 6 de enero de 2013. Consultado el 13 de noviembre de 2014 .
  13. ^ Abrams, Lawrence (1 de septiembre de 2009). "Eliminar Windows Police Pro (Guía de eliminación)". Bleeping Computer . Archivado desde el original el 3 de septiembre de 2009. Consultado el 15 de noviembre de 2014 .
  14. ^ "Cómo deshacerse del malware". Coeur d'Alene Press . Propeller Heads. 2009-10-11 . Consultado el 2014-11-11 .
  15. ^ Oiaga, Marius (15 de octubre de 2009). "Windows Antivirus Pro atacado por la herramienta de eliminación de software malintencionado de Microsoft". Softpedia . Archivado desde el original el 11 de noviembre de 2014. Consultado el 11 de noviembre de 2014 .
  16. ^ Jeremy Kirk (8 de marzo de 2007). "Abogado descubre el misterio de 'Winfixer'". Computerworld . Consultado el 14 de agosto de 2014 .
  17. ^ "Víctima de malware intenta en vano castigar a su fuente - San Jose Mercury News". Mercurynews.com . 23 de marzo de 2008 . Consultado el 14 de agosto de 2014 .
  18. ^ "Demanda interpuesta contra Winfixer (también conocido como ErrorSafe, WinAntiSpyware, WinAntiVirus, SystemDoctor y DriveCleaner)". The Internet Patrol. 9 de marzo de 2007. Consultado el 14 de agosto de 2014 .
  19. ^ "ADVERTENCIA: Winfixer y Errorsafe se distribuyen a través de anuncios publicitarios en MSN Messenger. El software espía es una porquería". msmvps.com . Archivado desde el original el 5 de julio de 2008.
  20. ^ "Tribunal detiene escaneos informáticos falsos". Comisión Federal de Comercio ( Estados Unidos ). 10 de diciembre de 2008. Consultado el 11 de diciembre de 2008 .
  21. ^ "Acusados ​​de desacato a la corte por parte de promotores de programas de susto". The Register ( Reino Unido ). 24 de diciembre de 2008. Consultado el 24 de diciembre de 2008 .
  22. ^ Ionescu, Daniel (3 de octubre de 2012). "Estafador de scareware multado con 163 millones de dólares por la FTC". techhive.com . Consultado el 3 de octubre de 2012 .
  23. ^ "Opinión de Winfixer" (PDF) . Comisión Federal de Comercio de Estados Unidos. 24 de septiembre de 2012. Consultado el 3 de octubre de 2012 .

Enlaces externos