Descubren clonación de sitios de MSN, Google y Yahoo
Una nueva amenaza modifica la navegación del usuario por los buscadores web MSN, Google y Yahoo!, que son clonados por un código malicioso. La consecuencia es que muestra resultados falseados que remiten a páginas no solicitadas, con el fin de aumentar las visitas y por tanto, el beneficio económico de los fabricantes del gusano, según advirtió la empresa de seguridad informática Panda.
Los laboratorios de la compañía registraron la aparición de un código malicioso que se aprovecha de la popularidad de los principales buscadores de Internet. Denominado Adware/PremiumSearch, el gusano parece una reedición de las acciones de uno detectado la semana pasada, que entonces modificaba los enlaces patrocinados mostrados en una búsqueda con Google.
En el caso de Adware/PremiumSearch, la infección proviene de la visita de una página web, redirigido desde otras páginas con contenido warez (versiones ilegales de programas) o para adultos.
En esta misma página, además de PremiumSearch, en el equipo del usuario se instala el spyware Application/WorldAntiSpy, y se infecta además con una variante del gusano Smitfraud, que hacen creer al usuario que su equipo posee una serie de amenazas, y le requieren que pague para poder desinfectarse.Proceso de infecciónLa infección de PremiumSearch comienza con la instalación en el equipo de un fichero BHO (Browser Helper Object) malicioso, por medio de algunas de las vulnerabilidades más utilizadas para la instalación de spyware, como ByteVerify, LoadImage, y Mhtredir.
De este modo, se llevan a cabo dos acciones principales: la instalación de una barra de herramientas de Google (no proveniente de la propia Google, sino modificada por terceros), y la modificación del archivo HOSTS.
Además, el fichero BHO hace que se muestre como página de inicio la del buscador PremiumSearch, pese a que el usuario especifique otra en la configuración del navegador.
La modificación del HOSTS y la acción del BHO hacen que los usuarios que soliciten las páginas de los buscadores MSN, Yahoo! y Google (en sus versiones para más de 60 países) obtengan una versión falseada, indistinguible de la original salvo porque mostrará una serie de resultados modificados en primer lugar, y posteriormente los que normalmente mostrarían estos buscadores.
Además, al realizar búsquedas sobre la falsa barra de Google también muestra este mismo comportamiento, con resultados alterados. Este código malicioso también contiene capacidad para operar sobre el buscador Alexa, pero no funciona correctamente en los sistemas probados. La página de la que se obtienen las versiones falseadas está alojada en EEUU.Objetivo lucrativo"El principal objetivo de estas acciones es aumentar el número de visitas a las páginas de los resultados modificados, con el beneficio económico que supone, aprovechándose de forma malintencionada del prestigio de estos buscadores, que hacen que un usuario medio confíe en la validez y utilidad de los enlaces mostrados en ellos", comentó Luis Corrons, director de los laboratorios Panda.
"Para evitar este tipo de infecciones, es fundamental mantener el equipo actualizado, ya que en muchas ocasiones las vulnerabilidades que utilizan para propagarse son muy antiguas, y poseer una eficaz protección antivirus", dijo Corrons.
César Dergarabediancdergarabedian@infoabe.com