CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

13/05/2011

El doodle de Google te lleva a sitios fraudulentos

Google No es poco frecuente que enlaces que nos dirigen a sitios fraudulentos aparezcan en los resultados de las búsquedas de Google. Lo que no es tan habitual es que esté situado en una posición elevada en el "doodle" de Google que nos lleve a enlaces con falsos antivirus.

Las alertas de falsos virus es un método común para tratar de infectar los equipos de los usuarios con programas falsos o alarmantes.

A menudo, Google cambia el logo de su página principal para indicar fechas especiales como festividades, acontecimientos o aniversarios, así como el nacimiento de personajes notables. Estas fechas y "doodles" varían según la región. Si un usuario pulsa en el "doodle" para descubrir lo que significa, Google realiza una búsqueda para el término al que se refiere éste.

El miércoles pasado, Google celebró el 117º aniversario del icono de la danza Martha Graham. Al pinchar sobre la imagen se mostraba una lista de imágenes de la bailarina de arte moderno, algunas de las cuales eran enlaces a sitios fraudulentos que advertían al usuario de que habían analizado su ordenador, encontrando archivos infectados. En este momento, una búsqueda de Martha Graham en Google aún sigue mostrando esas imágenes.

Una vez en el sitio malicioso se le ofrece descargar al usuario el archivo SecurityScanner.exe para resolver el presunto problema de virus, que contiene malware. Únicamente 4 de los 42 escáneres utilizados por VirutTotal advirtieron del fichero infectado a las 11 de la mañana del miércoles. Una prueba realizada por algunos asociados de esta publicación revelaron que el programa en cuestión podía infectar un sistema con Windows 7 con MSE2 activado. El malware desactivaba MSE2 y se añadía al Centro de Seguridad como "Win 7 Home Security 2011" y se marcaba como desactivado. A los usuarios se les pedía 60€ para activarlo.

El sistema infectado ya no podía ser utilizado cómodamente. Se lanzaba constantemente alertas cada vez que se visitaba una página, independientemente del navegador utilizado. El programa no aparecía en los programas instalados y, por tanto, no podía ser desinstalado fácilmente. En otras ocasiones, este programa, con mucho esfuerzo, podía ser eliminado, pero este programa modificaba tantos parámetros de configuración del sistema que reinstalar Windows era la forma más segura de hacerlo.

Fuente: The H Online

CSIRT-CV