Cómo impedir la entrada de antivirus falsos en las redes Hoy en día, los antivirus falsos son una de las amenazas más habituales en Internet. Mediante técnicas de ingeniería social, este tipo de programas, también conocidos como scareware, engañan a los usuarios para que visiten sitios maliciosos y compren herramientas falsas con las que eliminar las amenazas. Este monográfico ofrece información sobre la procedencia y los métodos de distribución de los antivirus falsos, las consecuencias de estas infecciones para los sistemas y cómo evitar que las redes y los usuarios se vean afectados por esta amenaza continua. Cómo impedir la entrada de antivirus falsos en las redes Qué son los antivirus falsos Los antivirus falsos son programas de seguridad fraudulentos que fingen detectar amenazas peligrosas para la seguridad (como virus) en los equipos. El primer escaneado es gratis pero, para limpiar las supuestas "amenazas" detectadas, es necesario realizar un pago. Este tipo de programas maliciosos muestran mensajes de alerta falsos sobre amenazas presentes en los equipos que, en realidad, no existen. Las alertas incitan a los usuarios a visitar sitios web en los que pueden contratar servicios para la limpieza de las amenazas ficticias. El programa antivirus falso muestra alertas molestas e indiscretas de forma incesante hasta que se realiza un pago o se elimina el programa malicioso. Este monográfico contiene información sobre la procedencia de los antivirus falsos, cómo afectan a los sistemas infectados y las técnicas que pueden utilizar los usuarios para protegerse. Monográficos de Sophos. Enero de 2013. Los antivirus falsos reportan gran cantidad de beneficios y, por eso, gozan de gran popularidad entre los cibercriminales. En comparación con otras clases de programas maliciosos, como las redes de bots, los troyanos de puerta trasera, los descargadores o los programas de interceptación de contraseñas, los antivirus falsos empujan a las víctimas a entregar dinero directamente al autor del programa malicioso. Las víctimas suelen pagar alrededor de 100 € con tarjetas de crédito por el programa falso que supuestamente soluciona el problema. Los antivirus falsos también están relacionados con una floreciente comunidad de redes afiliadas que obtienen grandes cantidades de beneficios por dirigir el tráfico de usuarios a las tiendas de sus socios1. Las redes de distribución pagan entre 20 y 25 € por infectar equipos adicionales y simplemente generar pistas, por lo que los individuos afiliados pueden obtener beneficios fácilmente. 2 Cómo impedir la entrada de antivirus falsos en las redes Desde SophosLabs, hemos observado la aparición de nuevos tipos de antivirus falsos. Los equipos Mac se han convertido en uno de los principales objetivos y los ataques utilizan técnicas de ingeniería social especialmente diseñadas para estos sistemas tanto a modo de anzuelo como en los propios programas maliciosos. Después de observar detenidamente la evolución del panorama de programas maliciosos para Mac OS X, hemos llegado a la conclusión de que los antivirus falsos para equipos Mac están progresando rápidamente y siguen muchos de los pasos de los programas maliciosos para Windows. Los hackers utilizan imágenes, contaminación de resultados de búsquedas y temas de actualidad para infectar a los usuarios con antivirus falsos. Además, SophosLabs ha detectado gran cantidad de antivirus falsos que cambian de nombre para confundir a los usuarios y evitar ser detectados. Síntomas típicos de las infecciones Los antivirus falsos utilizan una amplia gama de técnicas de ingeniería social para instalarse. Entre las campañas vistas hasta la fecha se incluyen: ÌÌ Actualizaciones de seguridad de Windows falsas2 ÌÌ Páginas falsas de Virus-Total3 ÌÌ Aplicaciones de Facebook falsas4 ÌÌ Timos relacionados con el 11 de septiembre5 Una vez instalados en el sistema, suelen mostrar patrones de comportamiento similares: Ventanas emergentes de advertencia Muchas familias de antivirus falsos muestran mensajes emergentes (vea las figuras 1, 2, 3, 4 y 5). Figura 2 Figura 3 Figura 1 Figura 4 Monográficos de Sophos. Enero de 2013. Figura 5 3 Cómo impedir la entrada de antivirus falsos en las redes Escaneados falsos Los antivirus falsos suelen fingir que escanean el ordenador y encuentran amenazas ficticias. A veces, crean archivos llenos de datos inservibles ellos mismos para luego detectarlos6 (vea las figuras 6, 7 y 8). Para crear mayor impresión de legitimidad, los antivirus falsos utilizan una gran variedad de nombres convincentes como, por ejemplo: ÌÌ Security Shield ÌÌ Windows XP Recovery ÌÌ Security Tool ÌÌ Internet Defender ÌÌ PC Security Guardian ÌÌ BitDefender 2011 ÌÌ Security Defender ÌÌ Antimalware Tool ÌÌ Smart Internet Protection ÌÌ AntiVirus AntiSpyware 2011 ÌÌ Malware Protection ÌÌ XP Security 2012 ÌÌ Security Protection ÌÌ XP Antivirus 2012 ÌÌ XP Anti-Spyware 2011 ÌÌ MacDefender ÌÌ Mac Security Los creadores de antivirus falsos abusan de las técnicas de modificación de ejecutables (como el polimorfismo del lado del servidor) para multiplicar las variedades de una misma familia. Durante el proceso, el archivo ejecutable se vuelve a empaquetar fuera de la red y, cuando se solicita una nueva descarga, genera un archivo diferente. Este proceso puede repetirse muchas veces en un mismo día. Por ejemplo, se ha comprobado que la familia denominada "Security Tool"7 puede generar un archivo diferente casi cada minuto. De ahí la cantidad de muestras que pueden aparecer de una sola familia. Muchas familias comparten también el mismo código base debajo del empaquetador polimórfico, lo que le da un nuevo aspecto a la aplicación, pero sin modificar el comportamiento. Figura 6 Figura 7 Monográficos de Sophos. Enero de 2013. Figura 8 4 Cómo impedir la entrada de antivirus falsos en las redes Vectores de infección Cómo se producen las infecciones de antivirus falsos Aunque los antivirus falsos pueden entrar en los sistemas de muchas formas distintas, la mayoría de los métodos de distribución se basan en técnicas de ingeniería social. El resultado final es siempre el mismo: el usuario cae en la trampa y ejecuta el programa de instalación del antivirus falso, como ocurre con muchos otros tipos de troyanos. Hasta la fecha, los creadores de antivirus falsos han utilizado una gran diversidad de trucos de ingeniería social, pero nunca dejan de ingeniar otros nuevos. En este monográfico, analizaremos algunas de las principales fuentes de infección: ÌÌ Contaminación de la optimización de los motores de búsqueda ÌÌ Campañas de correo electrónico no deseado ÌÌ Sitios web comprometidos y cargas de exploits ÌÌ Descargas de antivirus falsos por parte de otros programas maliciosos Contaminación de la optimización de los motores de búsqueda La costumbre de hacer clic en los enlaces obtenidos al realizar consultas en motores de búsqueda conocidos es una de las fuentes de infección de antivirus falsos más habitual. Mediante la utilización de técnicas Black Hat SEO8, los creadores de antivirus falsos se encargan de que los enlaces que conducen a los sitios web para la descarga de sus programas aparezcan en los primeros puestos de los resultados de las búsquedas. Estos resultados "contaminados" llevan a los usuarios a los sitios web controlados por antivirus falsos, en los que se encontrarán con una página falsa de escaneado que les comunica que su equipo está infectado y que deben descargar un programa para limpiarlo. En otras ocasiones, pueden encontrarse con una página para la supuesta descarga de una película, que les incitará a descargar un códec necesario para verla. Dicho códec, en realidad, es un programa para la instalación del antivirus falso. Google proporciona un servicio denominado Google Trends, mediante el que muestra los términos de búsqueda utilizados con mayor frecuencia en su buscador. Veamos un ejemplo del proceso que siguen los creadores de antivirus falsos para contaminar los términos de búsqueda extraídos de Google Trends. Estos son los términos de búsqueda más populares (vea la figura 9). Figura 9 Monográficos de Sophos. Enero de 2013. 5 Cómo impedir la entrada de antivirus falsos en las redes Si buscamos en el motor cualquiera de estos términos populares, obtendremos varios resultados contaminados (vea la figura 10). Al hacer clic en los enlaces, los usuarios llegan a una página falsa de escaneado que les informa sobre varias infecciones presentes en el equipo y la necesidad de descargar un programa para eliminar las amenazas (vea las figuras 11, 12 y 13). En otros casos, los enlaces llevan a los usuarios a una página para la supuesta descarga de una película, en la que se les indica el códec que deben descargar para verla (vea las figuras 14 y 15). De un modo u otro, los usuarios se ven envueltos en el engaño y pueden caer en la trampa de descargar y ejecutar un archivo desconocido que es, en realidad, el programa de instalación del antivirus falso. Figura 10 Figura 13 Figura 11 Figura 14 Figura 12 Figura 15 Monográficos de Sophos. Enero de 2013. 6 Cómo impedir la entrada de antivirus falsos en las redes Campañas de correo electrónico no deseado A menudo, las víctimas reciben los antivirus falsos directamente en su correo en forma de archivos adjuntos o enlaces insertados en mensajes de correo no deseado. Por lo general, estos mensajes suelen enviarse a través del correo electrónico, pero también existen casos en los que los antivirus falsos se distribuyen a través de aplicaciones de mensajería instantánea, como Google Talk10. Los mensajes de spam utilizan técnicas de ingeniería social para engañar a los usuarios y conseguir que ejecuten el archivo adjunto o hagan clic en el enlace. Las campañas de este tipo son variadas e incluyen timos relacionados con el restablecimiento de contraseñas, errores sobre mensajes no entregados o postales electrónicas. ÌÌ Timos de postales electrónicas: los usuarios reciben un mensaje falso de una empresa legítima de postales electrónicas. En realidad, el mensaje lleva adjunto el programa de instalación del antivirus falso (vea la figura 17). ÌÌ Timos sobre el restablecimiento de contraseñas: las víctimas reciben un mensaje falso de un sitio web conocido, en el que se les informa del restablecimiento de su contraseña y de la entrega de una nueva en el archivo adjunto (vea la figura 18). ÌÌ Timos sobre entregas de paquetes: las víctimas reciben información sobre un (supuesto) envío postal en el archivo adjunto al mensaje. En realidad, el archivo adjunto sirve para instalar el antivirus falso (vea la figura 19). Entre las campañas de spam para la difusión de antivirus falsos se incluyen: ÌÌ Timos sobre suspensiones de cuentas: las víctimas reciben un mensaje de correo electrónico en el que se insinúa la suspensión del acceso a una cuenta determinada y se incita al usuario a ejecutar el archivo adjunto para solucionar el problema (vea la figura 16). Figura 16 Figura 18 Figura 17 Figura 19 Monográficos de Sophos. Enero de 2013. 7 Cómo impedir la entrada de antivirus falsos en las redes Sitios web comprometidos y cargas de exploits Descargas de antivirus falsos por parte de otros programas maliciosos En ocasiones, los usuarios llegan a los sitios web de los antivirus falsos desde páginas web legítimas en las que los cibercriminales han inyectado código malicioso mediante la penetración en el servidor de alojamiento del sitio web objetivo del ataque y la inserción (normalmente) de código JavaScript en las páginas HTML alojadas. El código de redireccionamiento puede utilizarse para enviar el navegador a páginas que contienen cualquier tipo de programa malicioso, desde kits para el aprovechamiento de vulnerabilidades (exploits) a antivirus falsos. El código JavaScript suele estar muy camuflado y Sophos detecta este tipo de programas maliciosos como una variedad de Troj/JSRedir11. Los antivirus falsos también pueden descargarse en los equipos a través de otros tipos de malware. Con el fin de observar su comportamiento y garantizar la continuidad de la protección cuando aparecen nuevas variantes, SophosLabs cuenta con muchos equipos de cebo a los que llegan diferentes tipos de programas maliciosos. Hasta la fecha, hemos sido testigos de la instalación de varios tipos de antivirus falsos en equipos ya infectados, sobre todo, con TDSS, Virtumundo y Waled14. También hemos observado la instalación de antivirus falsos en equipos ya infectados por el tristemente célebre gusano Conficker15. De este modo, después de infectar equipos con TDSS o Virtumundo, los cibercriminales inducen a las víctimas a pagar por los antivirus falsos para seguir obteniendo beneficios. SophosLabs también ha encontrado ejemplos de canales publicitarios legítimos modificados por cibercriminales para cargar el código malicioso, bien mediante exploits que descargan y ejecutan el archivo binario del antivirus falso, o bien mediante un simple iframe que redirige el navegador a la página web del antivirus falso12, 13. Monográficos de Sophos. Enero de 2013. Además, existen modelos de pago por instalación con los que los hackers cobran por infectar los equipos de los usuarios. Con este sistema, los hackers controlan los equipos de las víctimas (mediante TDSS u otros programas similares) y los creadores de los antivirus falsos les pagan por instalarlos en los equipos infectados. 8 Cómo impedir la entrada de antivirus falsos en las redes Familias de antivirus falsos A continuación, explicaremos en detalle el comportamiento de los antivirus falsos una vez que han llegado al sistema objetivo del ataque. Instalación en el registro Normalmente, el antivirus falso copia el programa de instalación en otra ubicación del sistema y crea un entrada en el registro para ejecutar el archivo al iniciar el equipo. El programa de instalación suele copiarse en el área del perfil del usuario (por ejemplo, C:\Documents and Settings\<usuario>\ Configuración local\Datos de programa) o en el área de archivos temporales (por ejemplo, c:\windows\temp) con un nombre de archivo generado de forma aleatoria. De este modo, el antivirus falso traspasa la protección de los equipos de Windows que tienen activado el Control de cuentas de usuario (UAC)16 y evita la aparición de la advertencia correspondiente durante la instalación. Sin embargo, a algunas familias no les preocupa este control y siguen creando los archivos en las carpetas Archivos de programa o Windows. A continuación, se crea una entrada de clave en el registro que ejecutará el archivo cuando se inicie el sistema. Normalmente, la clave se añade a: ÌÌ HKCU\Software\Microsoft\Windows\ CurrentVersion\RunOnce ÌÌ HKCU\Software\Microsoft\ Windows\CurrentVersion\Run ÌÌ HKLM\Software\Microsoft\ Windows\CurrentVersion\Run Ejemplos: HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Runwpkarufv c:\documents and settings\<usuario>\ configuración local\datos de programa\ tqaxywicl\chgutertssd.exe HKCU\Software\Microsoft\Windows\ CurrentVersion\RunOnceCUA c:\windows\temp\sample.exe HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run85357230 c:\documents and settings\ todos los usuarios\datos de programa\85357230\85357230.exe Monográficos de Sophos. Enero de 2013. 9 Cómo impedir la entrada de antivirus falsos en las redes Inicio del escaneado falso Una vez que el antivirus falso está instalado, normalmente, intentará ponerse en contacto con un sitio web remoto a través del protocolo HTTP para descargar el componente principal. A continuación, iniciará el escaneado falso del sistema, que detectará gran cantidad de amenazas ficticias. La ventana principal del antivirus falso suele tener un aspecto muy profesional que convence fácilmente a los usuarios de que están utilizando un producto de seguridad auténtico (vea las figuras 20, 21, 22, 23, 24 y 25). Figura 22 Figura 23 Figura 20 Figura 24 Figura 21 Figura 25 Monográficos de Sophos. Enero de 2013. 10 Cómo impedir la entrada de antivirus falsos en las redes Después de detectar las amenazas ficticias, el programa incita al usuario a registrarse o activar el producto para poder limpiarlas, y le lleva a un sitio web (tanto a través de un navegador como a través de la aplicación antivirus falsa) en el que deberá introducir los datos de su tarjeta de crédito y otra información personal para registrarse. Mediante el uso ilegal de logotipos y marcas registradas de empresas reconocidas del sector, como Virus Bulletin17 o West Coast Labs18, los cibercriminales consiguen que estos sitios resulten también muy convincentes (vea las figuras 26, 27, 28, 29, 30 y 31). Figura 28 Figura 29 Figura 26 Figura 30 Figura 27 Monográficos de Sophos. Enero de 2013. Figura 31 11 Cómo impedir la entrada de antivirus falsos en las redes Otros comportamientos de los antivirus falsos Algunas familias de antivirus falsos interfieren en la actividad normal del sistema para causar mayor consternación en las víctimas. La desactivación del Administrador de tareas o el uso del Editor del registro para impedir la ejecución de determinados procesos, o incluso para el redireccionamiento de las solicitudes web, son algunos de los trucos más habituales. Este tipo de comportamientos convence aún más al usuario de la existencia de un problema en el sistema y aumenta las posibilidades de que realice una compra. Para resultar aún más efectivos, los antivirus falsos pueden: ÌÌ Finalizar procesos: el antivirus falso impide la ejecución de determinados programas y, en su lugar, muestra advertencias (vea las figuras 32 y 33). Los antivirus falsos no bloquean la ejecución del Explorador ni Internet Explorer, por lo que los nombres de sus archivos ejecutables (explorer.exe o iexplorer.exe) pueden utilizarse para sustituir los nombres de otros ejecutables bloqueados e intentar ejecutarlos. ÌÌ Redireccionar páginas web: algunas familias de antivirus falsos redirigen las solicitudes web de sitios legítimos a mensajes de error u otros tipos de mensajes de advertencia, lo que aumenta el temor de las víctimas y las posibilidades de que compren el antivirus falso (vea la figura 34). ÌÌ Instalar otros programas maliciosos: una vez instalados, ciertos antivirus falsos descargan otros tipos de malware, por ejemplo, troyanos bancarios, rootkits o componentes para el envío de correo no deseado. Prevención y protección Existen muchos métodos para bloquear la entrada de antivirus falsos a través de Internet y el correo electrónico, y en las estaciones. Los programas maliciosos son un problema complejo y la protección del entorno informático corporativo puede exigir una atención constante. Pero los programas antivirus no son suficiente. Para reducir los riesgos en las empresas, es necesaria una defensa sólida que impida la entrada de ataques desde todos los frentes. La protección más efectiva contra las amenazas de los antivirus falsos es una solución de seguridad completa por capas que pueda detectarlos durante todas las fases de la infección. ÌÌ Reducción de la superficie expuesta a ataques ÌÌ Protección integral ÌÌ Bloqueo de ataques ÌÌ Conservación de la productividad ÌÌ Formación de los usuarios Figura 32 Figura 33 Monográficos de Sophos. Enero de 2013. Figura 34 12 Cómo impedir la entrada de antivirus falsos en las redes Para crear este tipo de defensa por capas: Reduzca la superficie expuesta a ataques: Sophos filtra las direcciones web y bloquea el correo no deseado para impedir que los antivirus falsos lleguen a los usuarios. Mediante el bloqueo de los dominios y las direcciones web desde las que se descargan los antivirus falsos, se puede impedir que las infecciones lleguen a producirse. Los clientes de Sophos disfrutan de este tipo de protección gracias a Sophos Web Security and Control19 y los productos de seguridad para estaciones más recientes. Sophos Email Security and Data Protection bloquea los mensajes de correo electrónico no deseado que contienen antivirus falsos incluso antes de que el usuario llegue a verlos20. Proteja todos los puntos: pero la protección debe ir más allá y Sophos lo consigue gracias a las tecnologías de seguridad para Internet, la protección activa y el cortafuegos. Sophos Endpoint Security and Control detecta el contenido de Internet (como el código JavaScript o HTML) utilizado en las páginas web de antivirus y códecs falsos. La detección a este nivel impide que se descarguen los archivos de los antivirus falsos (por ejemplo, Mal/FakeAVJs, Mal/VidHtml). Además, a través de Sophos Live Protection, Sophos Endpoint Security and Control puede consultar directamente con SophosLabs cuando detecta un archivo sospechoso para determinar si se trata de un antivirus falso u otro tipo de programa malicioso. De esta forma, es posible bloquear de forma automática las brechas de programas maliciosos nuevos en tiempo real antes de que lleguen a ejecutarse y reducir el tiempo que transcurre desde que SophosLabs descubre un ataque hasta que los usuarios están protegidos. Bloquee los ataques: para detener los ataques, es necesario utilizar aplicaciones contra programas maliciosos, instalar las actualizaciones y los parches necesarios con frecuencia y detectar comportamientos peligrosos en tiempo real. Para detectar los archivos de los antivirus falsos de forma activa, nuestro agente antivirus ofrece protección total, además de escaneados de bajo impacto que detectan programas maliciosos, adware, archivos y comportamientos sospechosos y programas no autorizados. Gracias a la tecnología Behavioral Genotype, es posible detectar miles de archivos de antivirus falsos con una sola identidad. El número de muestras detectadas en la actualidad como variedades de Mal/FakeAV y Mal/ FakeAle supera con creces el medio millón. Evidentemente, para mantener el software anti-malware actualizado, que debe aplicarse a todos los niveles de protección, es importante instalar los parches y las actualizaciones. Por su parte, el software antivirus debe mantenerse al día mediante actualizaciones automáticas para contar en todo momento con la protección más reciente. También es necesario instalar los parches del resto de programas, como el sistema operativo y las aplicaciones más utilizadas (por ejemplo, Adobe Reader), para evitar la aparición de vulnerabilidades en la seguridad del sistema. Los ataques cambian continuamente y los sistemas de protección estáticos no siempre siguen el ritmo de la aparición de variedades nuevas. Por eso, es fundamental permitir las actualizaciones y aplicar los parches tan pronto como estén disponibles. La detección en tiempo real es importante porque, si el ejecutable de un antivirus falso traspasa las otras capas de protección, el sistema de prevención contra intrusiones en el host de Sophos (HIPS) puede detectar y bloquear el comportamiento del ejemplar Por último, Sophos Client Firewall puede mientras intenta ejecutarse en el sistema21. El configurarse para que bloquee las conexiones sistema HIPS incluye reglas específicas para salientes de los programas desconocidos y detectar y bloquear antivirus falsos. Cuando evitar que los antivirus falsos conecten con se detecta un comportamiento peligroso, el el exterior para recibir descargas o enviar los programa cierra la aplicación para bloquearla y datos de las tarjetas de crédito de las víctimas. proporcionar una capa de protección adicional. Monográficos de Sophos. Enero de 2013. 13 Cómo impedir la entrada de antivirus falsos en las redes Conserve la productividad: a los usuarios no les preocupa demasiado todo esto. Lo único que les interesa es hacer su trabajo. Por eso, Sophos ofrece total transparencia sobre la detección de antivirus falsos al personal informático, envía alertas sobre los programas maliciosos bloqueados y los elimina de los equipos de los usuarios. Además, las notificaciones pueden configurarse para que se envíen solo al equipo de seguridad o también a los usuarios. sospechoso y que el departamento informático se encarga de la protección antivirus de los equipos. Si tienen cualquier pregunta sobre la protección antivirus o aparecen mensajes extraños en sus equipos, deberían ponerse en contacto con el personal informático, en lugar de intentar solucionar cualquier problema personalmente. Además, es importante que no acepten nunca escaneados gratuitos por parte de programas anti-malware que exijan pagos por la limpieza del sistema. Las empresas serias no funcionan así y permiten evaluar sus programas para probar las funciones de detección y desinfección antes de comprarlos. Forme a los usuarios: la educación de los usuarios es otro componente importante de la defensa. Recuerde a los usuarios que no deben hacer clic en ningún elemento Detención de antivirus falsos ce rfa su k ac Pro tec t URL Filtering Educate Users Web Application Firewall ev re he yw er Re du ce at t Protección completa contra una amenaza que prolifera. Endpoint Web Protection Complete Security Clean up Live Protection ep br ea Ke ch es Anti-malware rk i Patch Manager ng S to d op Visibility wo an pe le tt pa ac ks Figura 35 Monográficos de Sophos. Enero de 2013. 14 Cómo impedir la entrada de antivirus falsos en las redes Estos tres consejos adicionales pueden ayudarle a proteger a los usuarios de equipos Mac: ÌÌ Si utiliza Safari, desactive la opción de apertura de archivos "seguros" tras las descargas para evitar que los archivos utilizados normalmente por los creadores de scareware, como los programas de instalación comprimidos, se ejecuten de forma automática al hacer clic por equivocación en un enlace peligroso. ÌÌ No dependa completamente del detector de programas maliciosos XProtect integrado de Apple. Aunque ofrece cierta protección, solo detecta los virus que utilizan técnicas básicas y en ciertas condiciones. Por ejemplo, los programas maliciosos ya presentes en el equipo o procedentes de memorias USB no se detectarían. Además, solo se actualiza cada 24 horas, una frecuencia que ya no es suficiente. ÌÌ Instale un programa antivirus auténtico. Curiosamente, la App Store de Apple no es el lugar más indicado para buscar una solución: según las reglas de Apple, los programas antivirus a la venta en App Store deben excluir el componente de filtrado basado el núcleo (conocido como escaneado en acceso o en tiempo real) necesario para obtener una prevención antivirus fiable. Conclusión Los antivirus falsos siguen siendo una amenaza predominante y un problema continuo y, dados los beneficios económicos que obtienen los cibercriminales, es poco probable que desaparezcan. Los antivirus falsos ya utilizan una gran variedad de métodos para su distribución, pero la creatividad de los cibercriminales no tiene límites. Por suerte, los usuarios pueden protegerse con una solución de seguridad completa y por capas, que detecte y defienda Sophos EndUser Protection Get a Free Trial Monográficos de Sophos. Enero de 2013. 15 Cómo impedir la entrada de antivirus falsos en las redes los sistemas contra los ataques de antivirus falsos a todos los niveles posibles. Referencias 1. Artículo técnico de Sophos "Partnerkas: qué son estas redes organizadas y qué peligros suponen" http://www. sophos.com/security/technical-papers/samosseikovb2009-paper.html 2. Blog de SophosLabs sobre la utilización de actualizaciones de seguridad falsas de Microsoft en antivirus falsos http://www.sophos.com/blogs/ sophoslabs/?p=8564 3. Blog de SophosLabs sobre el antivirus falso gratuito de Virus-Total (que no es de VirusTotal)" http://www.sophos. com/blogs/sophoslabs/?p=8885 4. "Phantom app risk used to bait scareware trap", The Register, http://www.theregister.co.uk/2010/01/27/ facebook_scareware_scam 5. Blog de Sophos sobre los timos de scareware basados en el 11 de septiembre http://www.sophos.com/blogs/ gc/g/2009/09/11/scareware-scammers-exploit-911 6. Blog de SophosLabs sobre el antivirus falso que genera su propio programa malicioso falso http://www.sophos. com/blogs/sophoslabs/?p=6377 7. Análisis de seguridad de Sophos de Mal/FakeVirPk-A http://esp.sophos.com/security/analyses/viruses-andspyware/malfakevirpka.html 8. Artículo técnico de SophosLabs "Resultados maliciosos de búsquedas: ataques automatizados a través de motores de búsqueda para la distribución de malware" http://www.sophos.com/sophos/docs/eng/papers/ sophos-seo-insights.pdf 9. Google Trends http://www.google.com/trends 10.Blog de Sophos sobre la distribución de antivirus falsos a través de Google Talk http://www.sophos.com/blogs/ chetw/g/2010/03/20/google-talk-distribute-fake-av/ 11.Blog de SophosLabs sobre la contaminación de SEO con antivirus falsos http://www.sophos.com/blogs/ sophoslabs/?p=6765 12."New York Times pwned to serve scareware pop-ups", The Register, http://www.theregister.co.uk/2009/09/14/ nyt_scareware_ad_hack/ 13."Scareware Traversing the World via a Web App Exploit", SANS Institute InfoSec Reading Room, http://www.sans. org/reading_room/whitepapers/incident/scarewaretraversing-world-web-app-exploit_33333 14.Análisis de seguridad de Sophos de Mal/TDSS-A http:// esp.sophos.com/security/analyses/viruses-and-spyware/ maltdssa.html Análisis de seguridad de Sophos de Troj/Virtum-Gen http://esp.sophos.com/security/analyses/viruses-andspyware/trojvirtumgen.html Análisis de seguridad de Sophos de Mal/WaledPak-A http://esp.sophos.com/security/analyses/viruses-andspyware/malwaledpaka.html 15."Conficker zombies celebrate ‘activation’ anniversary", The Register, http://www.theregister.co.uk/2010/04/01/ conficker_anniversary/ 16."Guía paso a paso de Control de cuentas de usuario de Windows", Microsoft TechNet, http://technet.microsoft. com/es-es/library/cc709691(WS.10).aspx 17. Virus Bulletin http://www.virusbtn.com/ 18.West Coast Labs http://www.westcoastlabs.com/ 19.Sophos Web Security and Control http://esp.sophos.com/ products/enterprise/web/security-and-control/ 20.Sophos Email Security and Data Protection http://esp. sophos.com/products/enterprise/email/security-andcontrol/ 21.Sophos HIPS http://esp.sophos.com/security/sophoslabs/ sophos-hips/index.html Ventas en España: Tel.: (+34) 91 375 67 56 Correo electrónico: [email protected] Boston (EE. UU.) | Oxford (Reino Unido) © Copyright 2013. Sophos Limited. Todos los derechos reservados. Todas las marcas registradas pertenecen a sus respectivos propietarios. Sophos White Paper 1/13.dNA