MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

31.10.09

Compendio mensual de información. Octubre 2009

Pistus Malware Intelligence Blog
27.10.09 Una recorrida por los últimos scareware XVII
24.10.09 ZeuS Botnet y su poder de reclutamiento zombi
19.10.09 Pornografía. Excusa perfecta para la propagación de malware II
19.10.09 Malware Intelligence Linkedin Group
18.10.09 Panorama actual del negocio originado por crimeware
17.10.09 ZeuS, spam y certificados SSL
14.10.09 DDBot. Más gestión de botnets vía web
13.10.09 Una recorrida por los últimos scareware XVI
08.10.09 Nivel de (in)madurez en materia de prevención
04.10.09 Automatización en la creación de exploits
01.10.09 Rompiendo el esquema convencional de infección

Evil Fingers Blog
27.10.09 ZeuS and power Botnet zombie recruitment
18.10.09 Current business outlook caused by crimeware
17.10.09 A recent tour of scareware XVI
10.10.09 Level of (im)maturity in prevention
09.10.09 Automation in creating exploits
05.10.09 Breaking the conventional scheme of infection

ESET Latinoamérica Blog
31.10.09 Reporte de amenazas de octubre
28.10.09 Propagación de ZeuS a través de falsa actualización de Microsoft
26.10.09 Gira Seguridad Antivirus. Ahora, en Venezuela
21.10.09 Constructores de exploits. Más actividades for dummies
15.10.09 Nueva edición de nuestro Curso de Seguridad Antivirus
13.10.09 Nueva variante de Adware pide recompensa

Información relacionada
Compendio mensual de información 2009

Diciembre - Noviembre - Octubre - Septiembre - Agosto - Julio
Junio - Mayo
- Abril - Marzo - Febrero - Enero

Jorge Mieres

Ver más

27.10.09

Una recorrida por los últimos scareware XVII

Tre AntiVirus
MD5: 3cc8970057e018c7e7e04db7875b7d24
IP: 213.163.71.207
Netherlands Netherlands Rotterdam Interactive 3d
Dominios asociados
Treav.com

Result: 4/41 (9.76%)

core2750.openbiglibrarynow.com/stget2.cgi?host=host&id=2750 (94.125.90.163) - Russian Federation Inttranspnet-rest
yourguardonline.com/online/ (194.54.81.98), protectpconline.com/online/ (194.54.81.99) - Ukraine Realon Service Llc
trustfighter.com/trustfighter.php (212.175.87.195), irutokking.com/download/ (212.175.87.196) - Turkey Ankara Netfactor Telekom Ve Teknoloji Hiz.as
quatrosimo.com/download, wolmanman.com/download/ (83.233.30.64) - Sweden Serverconnect I Norrland
yourmalwarescan04.com/download/ (204.12.226.171) - United States Wholesale Internet Inc
utka3medrdosubor.com/U1v0O5/8b0/w4j7AU9AHY (76.76.101.75) - Canada Interweb Media

PC Scout
MD5: c5065272658d577293b167866a54136d
IP: 76.191.100.17
United States United States Seattle Sentris Network Llc
Dominios asociados
aportals.net, canfind.org, clicktotal.org, news-portals.net, pcscoutinc.com, pcscoutlab.com, pcsecuritycorp.com, protectionlabs.com

Result: 3/41 (7.32%)

Personal Guard 2009 = Smart Protector
MD5: 79c9b0c7e1626910e8f8cc54430784c7
IP: 91.213.126.61
Costa Rica Costa Rica Centerinfocom Ltd
Dominios asociados
personalguardt.com
smartprotectpro.com

Result: 25/40 (62.5%)

General Antivirus = Wind Oprimizer = Internet Antivirus Pro = Virus Alarm Pro
MD5: fd57ca6d8485a2edc20ca778b37aee76
IP: 91.212.107.103
Cyprus Cyprus Nicosia Riccom Ltd
Dominios asociados
gobackscan.com, goneatscan.com, goscanadd.com, goscanback.com, goxtrascan.com, ia-pro.com, iantivirus-pro.com, iantiviruspro.com, wopayment.com, woptimizer.com

Result: 27/41 (65.86%)

Windows Mechanic
IP: 64.213.140.69
United States United States Global Crossing
Dominios asociados
fastsystem-guard.com, myprotected-system.net, pay2.malwaresdestructor.com, update2.virusshieldpro.com, update2.windowssystemsuite.com, windowsguardsuite.com, windowsmechanic.net, windowssystemsuite.com, winsecuritysuite-pro.com, www.virussweeper-scan.net, www.windowssystemsuite.com


devicestools.com/20100.php (68.178.232.99) - United States Godaddy.com Inc
windowsgenuineupdates.com (66.96.251.248) - United States Network Operations Center
extreme-anal.cn (195.88.190.240) - Russian Federation Bigness Group Ltd. Network
avpayform.com, avpaymentplus.com
avpluspayform.com, avpluspayment.com (91.207.117.176) - Ukraine Republic Of Rays S.r.o
expresshomeinspect.com (62.90.136.237) - Israel Haifa Loads
inspectanyhome.com (94.102.63.245) - Netherlands The King Host
libertyexperiment.com (194.60.205.20) - Russian Federation Baltic Center Of Innovations Techprominvest Ltd
ezscanweb.com (91.213.126.200) - Costa Rica Centerinfocom Ltd
kill-virusa.com (91.212.107.7), gen-pay.com (91.212.107.102) - Cyprus Nicosia Riccom Ltd

Antimalware Pro
MD5: 0de6a7d12eea219670dcc7319e3f065b
IP: 209.216.193.106
United States United States San Diego Deploylinux Consulting Inc
Dominios asociados
antimalware-software.org

Result: 7/41 (17.07%)

Security Tool
MD5: a1440f84388f1efb55ce48a095aeb468
IP: 78.129.166.98
Cayman Islands Cayman Islands Cayman British Islands Offshore Network
Dominios asociados
altapcsecurity.com, antispyavailable.com, antispyinteractive.com, antispyinternet.com, antispywareavailable.com, antispywareutility.com, antivirusfreeonline.com, antivirusinteractive.com, bestsupportcenter.com, cybernetsafety.com, defenseinteractive.com, etotalsecurity.com, identitysecuritysuite.com, onlinecentersupport.net, onlinewebsupport.net, powersystemstability.com, securesoftwarebill.com, serversafety.com, spyremoveronline.com, stabilitysuite.com, supportnetcenter.com, supportonlinecenter.com, system-tuner.net, systemsecuritysupport.com, totalantivirusvivo.com, totalsurfguard.com, yourantimalware.com

Result: 0/41 (0%)

Información relacionada
Una recorrida por los últimos scareware XVI
Una recorrida por los últimos scareware XV
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware I

Jorge Mieres

Ver más

24.10.09

ZeuS Botnet y su poder de reclutamiento zombi

Como lo he comentado en varias oportunidades, ZeuS es una de las botnets más "mediáticas" (por ende una de las más conocidas y populares), más agresivas y la que posee mayor actividad delictiva con funciones avanzadas que permiten realizar ataques de phishing, monitorear las zombis en tiempo real y recolectar toda esa información a través de diferentes protocolos.

Estas actividades agresivas que fundamentalmente proponen metodologías para obtener información confidencial de las computadoras comprometidas por alguna de las variantes que forman parte de la familia ZeuS, cuentan actualmente con un amplio repertorio de páginas falsas de entidades bancarias y financieras destinadas exclusivamente a la recolección de información mediante phishing.

Asimismo, la posibilidad de contar con un módulo de monitoreo por el cual el botmaster puede estar visualizando en tiempo real absolutamente todo lo que se realiza en la PC zombi (navegación por servicios de webmail, transacciones bancarias, conversaciones por chat, etc.), supone un grave peligro que atenta directamente contra la confidencialidad.

Y aunque para muchos parezca una cuestión trivial, el solo hecho de saber que su desarrollador actualiza cada versión de ZeuS, desde el año 2007, aproximadamente una vez por mes, es un punto relevante que marca el por qué de su popularidad en el ambiente under.

Pero sin embargo, a pesar de todo esto, aún hoy parece que no se valoran en su justa medida las implicancias de seguridad que tienen implícitas las actividades, no sólo de ZeuS sino de cualquiera de las alternativas crimeware que día a día bombardean Internet con sus acciones delictivas.

Quizás, lo que a continuación les voy a mostrar sea un aspecto fundamental para comprender el verdadero alcance delictivo que tienen este tipo de actividades. Se trata de una botnet ZeuS con un corto periodo de vida, pero con un importante volumen de zombis reclutados que se aglomeran en su cuartel bajo la tutela del "negociante" esperando sus órdenes.

La siguiente captura muestra los zombis reclutados sólo en Rusia, en este caso, por el botmaster que inició sesión bajo el nombre "russian". Esta información se obtiene a través de la opción de filtrado, limitando la búsqueda con el acrónimo del país (RU).

Ahora… una de las preguntas que quizás muchas veces nos hacemos al hablar de botnets es ¿cuál es la capacidad de reclutamiento que poseen? y aunque la respuesta es relativa podríamos decir que no tiene límites, o que el límite estará dado en función de la capacidad de los servidores utilizados por los botmasters.

Pero, siguiendo el ejemplo anterior, podemos tener una idea lo suficientemente concreta sobre el poder de reclutamiento que posee, en este caso, el botmaster "russian".

Con una actividad de tres (3) meses, cuenta con una cantidad de 24.830 zombis. Algo así como casi 276 infecciones de ZeuS por día. Y si seguimos la lógica, estadísticamente hablado, la cantidad se podría cuadruplicar a lo largo del año.

Por otro lado, la posibilidad de administrar una botnet vía web, supone también que pueden ser administradas varias al mismo tiempo; es decir, que varios botmasters pueden utilizar la misma aplicación web (en este caso ZeuS) para controlar "sus" zombis. De esta manera, el usuario "russian" posee una actividad relevante. Pero también podemos obtener información de sus pares que se encuentran administrando zombis bajo el mismo dominio.

Por ejemplo, el usuario "system" posee 10.184 zombis pero reclutadas durante un periodo de 30 días. Aproximadamente 335 zombis por día. Todo, a través de una sola botnet ZeuS ¿se imaginan cuantas ZeuS como estas se encuentran In-the-Wild?

Mientras que el botmaster con menos actividad cuenta con tan sólo 34 zombis, pero en menos de 1 hora.

En resumen, independientemente del tiempo de actividad de una u otra botnet, la tasa de reclutamiento es muy alta.

Esto significa también que los mecanismos de prevención no son lo suficientemente efectivos, y de hecho un reciente estudio deja en evidencia que los mecanismos evasivos que incorpora ZeuS son lo suficientemente efectivos frente a los mecanismos de detección de muchas de las soluciones antivirus actuales.

No obstante, bajo un aspecto más riguroso, que el malware actual incorpore mecanismos auto-defensivos cada vez más eficaces no significa que los antivirus no son efectivos. Además, no todo pasa por la solución de seguridad y gran parte de la responsabilidad recae en el usuario ya que, en definitiva y siguiendo con el aspecto riguroso, un sistema no se infecta por sí solo.


Información relacionada

ZeuS, spam y certificados SSL
Eficacia de los antivirus frente a ZeuS
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
Fusión. Un concepto adoptado por el crimeware actual
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Jorge Mieres

Ver más

19.10.09

Pornografía. Excusa perfecta para la propagación de malware II

Una de las temáticas más explotadas para la diseminación de códigos maliciosos es la pornografía. Evidentemente todo lo relacionado a lo porno despierta cierta característica, propia de todo ser humano, que responde a un concepto tan antiguo como la vida misma: la lujuria.

Asimismo, esta característica se engloba dentro de los llamados "pecados capitales" y representa un punto débil para los usuarios que buscan en Internet este tipo de material sin atender buenas prácticas de prevención; y cuando la excusa utilizada para ejecutar la acción de Ingeniería Social es la pornografía, la propagación de malware provoca un alza en el índice de infección de la amenaza.

En este caso, nos encontramos con un sitio web que simula respetar las normas que indican dejar en evidencia que el contenido del mismo posee material explícito sólo para mayores de edad; sin embargo y como es de esperar, marca el inicio de la estrategia de engaño.

En cualquiera de los botones en los que hagamos clic (enter site! o exit now! respectivamente) el efecto es el mismo,…

…se redirecciona a una página que despliega imágenes impúdicas que al seleccionar cualquiera de ellas, redirecciona nuevamente a otra que completa el ciclo de engaño.

Utilizando la típica maniobra de Ingeniería Social visual, pretende engañar al usuario con una imagen que especifica la necesidad de descargar la aplicación Flash Player 10, ofreciendo a los pocos segundos la descarga de un archivo llamado "adobeflashplayerv10.0.32.18.exe" (5f49907a0e20b4ddebc6c31bde9eb6f1), que es el malware con el nombre "mimetizado”.

Este código malicioso posee una tasa de detección baja (10/41 - 24.39%). Esto significa que puede tener un índice muy alto de infección en un rango de tiempo muy corto.

Entre otras acciones comunes del malware (manipular claves del registro, crear archivos, monitorear proxy), establece una conexión con la dirección IP 212.117.169.163 desde la cual descarga otro binario. En este caso, llamado "setup.exe" (839e68b258ca56a5693a47bd610415f5) que al igual que el anterior también es detectado por un número bajo de antivirus (11/39 - 28.21%).

Como podemos deducir, las maniobras que relacionan al malware con la pornografía son muy activas, y constituyen uno de los vectores más empleados para las actividades de engaño y diseminación de todo tipo de códigos maliciosos.

Información relacionada
Pornografía. Excusa perfecta para la propagación de malware
Técnicas de engaño que no pasan de moda
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección II
Ingeniería Social visual y el empleo de pornografía como vector de propagación e infección

Jorge Mieres

Ver más

Malware Intelligence Linkedin Group

Malware Intelligence es un proyecto que por el momento se encuentra en su etapa inicial y forma parte de un sitio web que a futuro estaré poniendo a disposición de toda la comunidad de Seguridad de la Información en general y Seguridad Antivirus en particular.

A continuación dejo una captura que corresponde a una de las secciones del sitio.

Su creación fue motivada por una serie de proyectos en materia de seguridad cuya intención es canalizarlos a través de ese canal pero al mismo tiempo proyectarlo hacia todos aquellos que deseen colaborar.

En este momento el grupo cuenta con 56 miembros y todavía no he dado a conocer los proyectos (sin embargo espero poder hacerlo para arrancar con todo el próximo año). Por lo que todos aquellos que quieran participar son bienvenidos.

Pueden acceder al grupo desde aquí.

Jorge Mieres

Ver más

18.10.09

Panorama actual del negocio originado por crimeware

Sin lugar a dudas, el panorama actual de las acciones delictivas globales que se canalizan a través de la web constituyen un negocio redondo y oscuro que se gesta en lo más subterráneo de los diferentes ambientes que ofrece Internet, robando información privada a través de diferentes "bichos"…

…que se diseminan ejecutando diferentes "planes" estratégicamente pensados, incluso desarrollando aplicaciones destinadas a automatizar los procesos delictivos que se comercializan en un mismo entorno clandestino, para luego trasformar todo en dinero.

Sin más preámbulo... la imagen resume todo :)

Información relacionada
CYBINT en el negocio de los ciber-delincuentes rusos
Software as a Service en la industria del malware
Los precios del crimeware ruso. Parte 2
Los precios del crimeware ruso. Parte 1
Comercio Ruso de versiones privadas de crimeware...
Automatización de procesos anti-análisis II

Jorge Mieres

Ver más

17.10.09

ZeuS, spam y certificados SSL

Como ya sabemos, las actividades delictivas propuestas por la botnet ZeuS a través de su familia de troyanos y a lo largo de ya dos años de gozar con la categorización In-the-Wild, se impone frente a otras actividades crimeware con un importante volumen de variantes que aún hoy siguen reclutando zombis proponiendo, como parte de su estrategia de engaño, nuevas alternativas.

En esta oportunidad, y como en otras, una de sus variantes se está diseminando por correo electrónico mostrando un mensaje que alude a la actualización manual del certificado SSL. El mensaje dice así:

"On October 16, 2009 server upgrade will take place. Due to this the system may be offline for approximately half an hour. The changes will concern security, reliability and performance of mail service and the system as a whole.

For compatibility of your browsers and mail clients with upgraded server software you should run SSl certificates update procedure. This procedure is quite simple. All you have to do is just to click the link provided, to save the patch file and then to run it from your computer location. That's all.

[Enlace malicioso]

Thank you in advance for your attention to this matter and sorry for possible inconveniences.

System Administrator"

Como es habitual en ZeuS, el ejemplar analizado presenta un patrón característico en la actualidad del malware, que se centra en la fusión de actividades propias de diferentes códigos maliciosos.

En este caso, posee un componente keylogger encargado de recolectar la información privada de los usuarios (nombres de usuarios, contraseñas, números de tarjetas de crédito, credenciales de acceso al Home-Banking) que utilizan la computadora comprometida. También establece una conexión con http://hostz-150909.com/zed1/table.bin para descargar su archivo de configuración.

Por otro lado, implanta en la zombi un backdoor a través del cual el atacante accede al sistema víctima sin demasiados inconvenientes; además de ejecutar actividades rootkit escondiendo los archivos maliciosos en una carpeta llamada "lowsec" (también oculta) que se crea en la carpeta de sistema. Los archivos son los siguientes:
  • %System%\lowsec\local.ds
  • %System%\lowsec\user.ds
  • %System%\lowsec\user.ds.lll
Todo controlado por el habitual archivo "sdra64.exe" característico de ZeuS que también crea en la carpeta de sistema; y a través de un módulo de auto-defensa intenta terminar los procesos del programa antivirus y del firewall.

Por suerte esta variante de ZeuS posee un índice de detección alto; sin embargo, estas acciones maliciosas son comunes de toda la familia de esta amenaza.

Según TrendMicro, esta nueva maniobra de ZeuS a través del correo estaría dirigida a los empleados de determinadas compañías; y a juzgar por la firma del mensaje (System Administrator) y que alude a una actualización manual del certificado SSL, el círculo de Ingeniería Social parece cerrarse.

Sin embargo, lo preocupante de todo esto, independientemente de sus maniobras y métodos de propagación, es la constancia que ZeuS sigue manteniendo a lo largo del tiempo desde la liberación de su código en el 2007 y de las distintas versiones, aunque antiguas, que pueden ser conseguidas sin demasiados esfuerzos.

Información relacionada
Eficacia de los antivirus frente a ZeuS
Especial!! ZeuS Botnet for Dummies
Botnet. Securización en la nueva versión de ZeuS
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Jorge Mieres

Ver más

14.10.09

DDBot. Más gestión de botnets vía web

Si bien estamos acostumbrados a que el desarrollo de aplicaciones destinadas al control y administración de botnets tengan su punto de partida en Europa del Este (sobre todo en Rusia), el negocio que representan las redes zombis para muchos personajes que mueven cotidianamente sus ejes, no tiene frontera ni limitaciones.

En consecuencia, comienzan a emerger desde otros lugares del planeta diferentes alternativas cuyos ejes principales también están destinados a facilitar las maniobras delictivas de los botmasters. Ya habíamos dado cuenta de botnets, en este caso, Open Source escritas en Perl y ahora le toca el turno a DDBot (Dark Dimension Botnet).

Bajo el slogan "botmasters your dreams come true!", DDBot promete funcionalidades diferenciadoras con respecto a sus pares, y si bien tiene una manera más "elegante" de presentar la información, no cambia en cuanto a sus características y a las alternativas de ataque incorporadas en cualquier otra aplicación de este estilo.

Entre sus características, esta aplicación crimeware se compone de siete módulos que están disponibles en función del dinero que se invierta en su compra. Estos módulos son:
  • Webpanel/IRC. Es el framework que permite la gestión de las zombis y C&C a través de comando IRC. Esto permite controlar las zombis de forma convencional a través de canales IRC o utilizar cualquier navegador para acceder al Panel Web de control desde el cual también se envían comandos IRC pero a través del protocolo http. Por defecto se conecta al ircd.
  • Load & Execute. Es el modulo que permite cargar y ejecutar los binarios que se propagen a través del Panel Web.
  • Passwords Stealer. Es el modulo encargado de almacenar las contraseñas. Posse rutinas que le permiten obtener este tipo de información privada de los usuarios que hacen uso de las siguientes aplicaciones: MSN, Outlook, Filezilla, Firefox, Windows.PStore, Trillian, Icq6 y NoIp.Duk. Las rutinas son actualizadas periódicamente con lo cual se estima que se irán agregando posibilidades de obtener contraseñas de otros servicios.
  • DDos. El modulo de ataque de Denegación de Servicio Distribuida. El ataque puede ser configurado a través del Panel Web a través de comandos IRC.
  • reverseSocks. Incorpora la posibilidad de poder ejecutar todas sus funcionalidades, incluso cuando los equipos se encuentran detrás de un router o protegido con firewall.
  • SpamMail. Este módulo incorpora un SMTP que le permite a los spammers operar la botnet con este fin particular. Los correos son personalizados desde el Panel Web de forma muy sencilla.
  • Statistics. Es el modulo que permite analizar información estadística (hacer inteligencia) sobre las zombis activas, los países en los que se encuentran y demás, representando la información de una forma poco habitual.
Si bien todas las funcionalidades pretenden ofrecer un "producto" lo más automático posible, ya que no necesita demasiadas configuraciones ni demasiados conocimientos para comenzar a operarla; por ejemplo, se puede enviar spam tan solo agregando dos parámetros (básicamente receptor y mensaje), constituye una buena oferta para los script kiddies que se aventuran en la carrera de ciberdelincuentes profesionales.

En cuanto a los costos con los que DDBot se ha insertado en el mercado de crimeware, se encuentran tres paquetes cuyos precios varían según el cual se trate. El primero de los paquetes posee los módulos de ataque DDoS, Password Stealer, Load & Execute, Statistics y el Panel Web. Su valor es de 100 Euros.

La segunda opción, además de las opciones del primer paquete, incorpora el módulo reverseSocks y su valor es de 150 Euros. El tercer paquete, con un costo de 250 Euros, incorpora además el módulo que permite el envío de spam (SpamMail).

El ciclo de comercialización concluye cuando el "comprador" deposita el dinero a través de WebMoney o paysafecard.

Por otro lado, si bien no se conoce fehacientemente el origen de desarrollo de este crimeware, hay indicios que hacen suponer que también tiene su origen en Rusia.

Como verán, el comercio de crimeware no para, y seguramente durante el 2010 sigan apareciendo más alternativas que, obviamente, aumentarán su grado de complejidad a medida que las investigaciones revelen a todas luces sus funcionalidades, procesos de comercialización y detección de sus mecanismos maliciosos.

Información relacionada
Phoenix Exploit’s Kit. Otra alternativa para el control de botnets
iNF`[LOADER]. Control de botnets, marihuana y propagación de malware
Liberty Exploit System. Otra alternativa crimeware para el control de botnets
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild

Jorge Mieres

Ver más

13.10.09

Una recorrida por los últimos scareware XVI

Advanced Virus Remover
MD5: b3f4e680db0b4093737093afc5bd7ddd
IP: 92.241.177.207
Russian Federation Russian Federation Netplace
Dominios asociados
1-vscodec-pro.com
10-open-davinci.com
advanced-virus-remover-2009.com
advanced-virus-remover2009.com
advanced-virusremover2009.com
advancedvirus-remover-2009.com
antivirus-2009-ppro.com
antivirus-scan-2009.com
best-scanpc.com
bestscanpc.com
bestscanpc.info
bestscanpc.net
blue-xxx-tube.com
downloadavr3.com
downloadavr4.com
onlinescanxppro.com
testavrdown.com
trucountme.com
vscodec-pro.com

Result: 21/41 (51.22%)


securitycentr.com (195.24.78.186), webscannertools.com (212.117.165.126) - Luxembourg Luxembourg Root
antivir-freescan.com/online (213.163.64.81) - Netherlands Rotterdam Interactive 3d
computervirusscanner31.com/scan1 (213.163.89.60) - Netherlands Rotterdam Telos Solutions Ltd
benharpergals.com/?pid=162&sid=c3d08e (89.248.174.61) - Netherlands Ecatel Dedicated & Resellers
iniegox.cn/installer.1.exe (91.213.29.250) - Russian Federation Russian Federation Info-media Ltd
avidentify.com (91.206.201.8) - Ukraine Ukraine Pe Sergey Demin
scan.helpyourpcsecuritynow.com/download/smrtprt/install.php (195.95.151.185) - Ukraine Kiev Limited Corp
goxtrascan.com (91.212.107.103) - Cyprus Cyprus Nicosia Riccom Ltd
virushooker.com (206.53.61.73) - Canada Canada Thornhill Rcp.net
fastscansearch.net (64.86.16.101), globalscansearch.com (64.86.16.130), totalscansearch.com (64.86.16.100), totalscansearch.net (64.86.16.124) - Canada Brampton Velcom
securitycodereviews.com/install/ws.exe, bestwebsitesecurity.com (62.90.136.237) - Israel Israel Haifa Barak I.t.c
weedruk.com/download (91.212.127.132) - United Kingdom Telos Solutions Ltd
mycompscanner42.com (206.217.201.240), myvirusscanner2.com (206.217.201.136) - United States Athens
myvirusscanner25.com/2 (69.4.230.204) - United States Chicago Hosting Services Inc
fp.outerinfo.com/dispatcher.php, outerinfo.com (63.251.135.18) - United States Cambridge Clickspring Llc
block-spyware.co.cc/htm6.exe (78.46.129.170) - Germany Gunzenhausen Hetzner
safefighter.com (83.233.30.66) - Sweden Sweden Stockholm Serverconnect I Norrland
keymydomains.com (193.169.12.26) - Belize Belize Financial Company Titan Ltd
trustsoldier.com (212.175.87.195) - Turkey Turkey Ankara Netfactor Telekom Ve Teknoloji Hiz.as

Perfect Defender 2009
IP: 206.161.120.40
United States United States Herndon Beyond The Network America Inc
Dominios asociados
agelesscommunity.com, air-titaniumusa.com, alcohol-treatmentcenter.com, antigreen.org, arkansasrobotics.com, barry-miller.com, brianperez.com, cocainedrugtreatment.com, combat-camera.com, pcfender.com, pcfsupport.com

PC MightyMax
MD5: e630ee28e264d060562cb567e7fa5ed0
IP: 208.38.128.164
United States United States Valrico Sonbry Marking International
Dominios asociados
pc-mm.com
pcmightymax.net
dllfix.net
pc-test.com
pcmightymax.net
Result: 1/41 (2.44%)

Nortel Antivirus
IP: 174.142.96.6
Canada Canada Montreal Iweb Technologies Inc
Dominios asociados
nortel-antivirus-pro.com
nortel2010.com




Screen-Spy
MD5: 21b5e0a17c057a281b6e7a90c3f8ce7a
IP: 208.109.106.46
United States United States Scottsdale Godaddy.com Inc
Dominios asociados
logserver39.com, acespy.com, pchealthoptimizer.com, retinaxstudios.com, screen-spy.com, loanmodcrm.org
Result: 17/41 (41.46%)

SaferScan
MD5: cb9022235cc4ae3adc9f54cd49b81bf5
IP: 66.152.93.119
Canada Canada Integrated Search Technologies
Dominios asociados
activexcash.net, instaldownload.com, installcash.com, power-scan.com, safer-scan.com, sexsearchbar.com, toolbarcash.com,
unlimitedsongs.net, xxxtoolbar.com

Result: 23/41 (56.10%)

Información relacionada
Una recorrida por los últimos scareware XV
Una recorrida por los últimos scareware XIV
Una recorrida por los últimos scareware XIII
Una recorrida por los últimos scareware XII
Una recorrida por los últimos scareware XI
Una recorrida por los últimos scareware X
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware I

Jorge Mieres

Ver más