Estrategia de infección agresiva de XP Police Antivirus

Luego de comentar sobre la campaña de Ingeniería Social visual empleada por el scareware XP Police Antivirus, nos encontramos con un condimento extra que también intenta explotar de lleno la Ingeniería Social en las características naturales del factor humano.

El mismo dominio desde donde se descarga del binario install.exe es empleado para diseminar otro troyano, a través de una falsa página de PornTube; codec.exe (MD5: a90e8a945f5cce31db00cac14a26418c), también perteneciente a la familia de XP Police Antivirus.

Al infectar el equipo, el troyano deja accesos directos en el escritorio del usuario que hacen referencia a los siguientes sitios web que se diseminan por spam:

Cheap Pharmacy Online >> http://www.quality-rx .com/?fid=1056
Cheap Software >> http://allisoftware .com
VIP Casino >> http://affiliate.goldvipclub .com/remote/SmartDownload.asp?affid=760
MP3 Download >> http://www. mp3sale .ru/?pid=507
SMS TRAP >> http://www.smstraper .com/go/MTEzOjA=/
Search Online >>http://www.adultwebfind .com/search .php?aid=16851&keyword=sex

Al acceder al acceso directo de VIP Casino se descarga el ejecutable SmartDownload.exe (MD5: 0f47f132f9e3d2790a6b27ffc2c502b0), y MP3 Download accede directamente al dominio http://xp-police-09 .com/lands/error/ desde donde se despliega una nueva estrategia de engaño simulando un error.

Al cabo de unos segundos, el usuario comenzará a experimentar el despliegue de ventanas emergentes con alertas sobre supuestas infecciones y solicitudes de registro del falso programa.

Sin embargo, hasta esta instancia, las acciones pueden ser vistas por la víctima, pero, en segundo plano siguen sucediendo otras acciones que involucran directamente la descarga de los componentes del scareware XP Police Antivirus.

Información relacionada
Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual
Nueva estrategia de IS para diseminar scareware
Una recorrida por los últimos scareware IV

# pistus