283 views

MUCHO CUIDADO : FALSO DOMINIO DE SOFTONIC creado para infectar

Publicado el 17 septiembre 2011 ¬ 13:23 pmh.mscComentarios desactivados

Softonic.com es uno de los portales de descargas más conocidos en español, tan solo en el mes de agosto más de 100 millones de personas lo visitaron en busca de programas, por lo que no resulta extraño que algunos atacantes aprovechen su marca para infectar.

Esto es lo que están haciendo con un dominio falso que simula ser Softonic, fue registrado hace unos días, aún está operativo pero ya se encuentra en varias listas negras de phishing y malware (procura no entrar, si lo haces tu computadora se podría infectar):

Dominio registrado la semana pasada
El sitio no tiene ningún diseño armado, simplemente se ve la estructura de las carpetas en su servidor con los nombres de varios programas conocidos como Chrome, Skype, Google Earth, entre otros. Cada carpeta contiene un archivo .exe que en realidad es un troyano (VT 16/44), además el dominio también cuenta con una estructura de subdominios para cada programa, similar a lo que hace Softonic en su sitio:

Carpetas, subdominios y troyano en el dominio falso

Si los enlaces directos a los troyanos se propagan mediante spam (correo, comentarios en foros y blogs, redes sociales, etc) sería sencillo engañar a los usuarios, pues muchos creerían que están descargando el programa desde Softonic lo cual se considera una “descarga segura”. Un ejemplo podría ser la siguiente URL (no entrar ni descargar el archivo, es un troyano!):

URL maliciosa: hxxp://firefox.en-softonic . net / firefox_6.0.1.exe
Descarga desde el sitio falso

Como vemos, es un ataque simple pero ingenioso que aprovecha la gran popularidad del portal.

Hay que tener mucho cuidado a la hora de descargar programas, siempre hay que verificar su origen y analizarlos con un antivirus actualizado.

Fuente

Informe de VirusTotal sobre fichero .EXE infectado contenido en las carpetas de dicho dominio:

File name: chrome_11.0.696.68.exe
Submission date: 2011-09-16 05:16:17 (UTC)
Current status: finished
Result: 16 /44 (36.4%)
VT Community

not reviewed
Safety score: -
Compact Print results

There is a more up-to-date report (16/44) for this file.

Antivirus Version Last Update Result
AhnLab-V3 2011.09.15.05 2011.09.15 Trojan/Win32.Jorik
AntiVir 7.11.14.212 2011.09.15 -
Antiy-AVL 2.0.3.7 2011.09.16 -
Avast 4.8.1351.0 2011.09.15 -
Avast5 5.0.677.0 2011.09.15 -
AVG 10.0.0.1190 2011.09.15 -
BitDefender 7.2 2011.09.16 Gen:Variant.Kazy.37695
ByteHero 1.0.0.1 2011.09.13 -
CAT-QuickHeal 11.00 2011.09.16 -
ClamAV 0.97.0.0 2011.09.15 -
Commtouch 5.3.2.6 2011.09.16 -
Comodo 10131 2011.09.16 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2011.09.16 -
Emsisoft 5.1.0.11 2011.09.16 Win32.SuspectCrc!IK
eSafe 7.0.17.0 2011.09.15 -
eTrust-Vet 36.1.8563 2011.09.15 -
F-Prot 4.6.2.117 2011.09.16 -
F-Secure 9.0.16440.0 2011.09.16 Gen:Variant.Kazy.37695
Fortinet 4.3.370.0 2011.09.16 W32/Kryptik.CQW!tr
GData 22 2011.09.16 Gen:Variant.Kazy.37695
Ikarus T3.1.1.107.0 2011.09.16 Win32.SuspectCrc
Jiangmin 13.0.900 2011.09.15 -
K7AntiVirus 9.113.5140 2011.09.15 -
Kaspersky 9.0.0.837 2011.09.16 Trojan.Win32.TDSS.cnak
McAfee 5.400.0.1158 2011.09.16 DNSChanger.cq
McAfee-GW-Edition 2010.1D 2011.09.15 Artemis!29792B72AEEF
Microsoft 1.7604 2011.09.15 Trojan:Win32/Alureon.FE
NOD32 6467 2011.09.16 -
Norman 6.07.11 2011.09.15 -
nProtect 2011-09-15.01 2011.09.15 Gen:Variant.Kazy.37695
Panda 10.0.3.5 2011.09.15 Suspicious file
PCTools 8.0.0.5 2011.09.16 -
Prevx 3.0 2011.09.16 -
Rising 23.74.03.03 2011.09.09 -
Sophos 4.69.0 2011.09.16 -
SUPERAntiSpyware 4.40.0.1006 2011.09.16 Trojan.Agent/Gen-RogueSoft
Symantec 20111.2.0.82 2011.09.16 -
TheHacker 6.7.0.1.297 2011.09.15 -
TrendMicro 9.500.0.1008 2011.09.16 -
TrendMicro-HouseCall 9.500.0.1008 2011.09.16 -
VBA32 3.12.16.4 2011.09.15 -
VIPRE 10490 2011.09.16 Win32.Malware!Drop
ViRobot 2011.9.16.4671 2011.09.16 -
VirusBuster 14.0.214.0 2011.09.15 -
Additional informationShow all
MD5 : 29792b72aeef547ee30613cf9a60d22b
SHA1 : 0077bfa7cf7659e44c5f548aabdbd9454c965873

File size : 311296 bytes

publisher….: My(c) SystemS
copyright….: My(c) SystemS Corp All Rights reserved
product……: InvertedWare
description..: InvertedWare
original name: fajmed.exe
internal name: fajmed
file version.: 0.R146.31343T RC4.243b alpha

Ya se puede detectar con nuestro ELIMD5.EXE entrando su hash: 29792b72aeef547ee30613cf9a60d22b
saludos

ms, 17-9-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es

Noticias, PhishingFALSO DOMINIO, SOFTONIC

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

MUCHO CUIDADO : FALSO DOMINIO DE SOFTONIC creado para infectar

Translate

Redes Sociales

Sesión y RSS

Enlaces

Categorías

Más vistos:

mayo 2013
L	M	X	J	V	S	D
« abr
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

MUCHO CUIDADO : FALSO DOMINIO DE SOFTONIC creado para infectar

Translate

Redes Sociales

Sesión y RSS

Enlaces

Categorías

Etiquetas

Más vistos: