Gaming Club
Regístrate
españaESPAÑAméxicoMÉXICOusaUSA
Betech
Ciencia y tecnología

MALWARE

El virus que te protege de otros virus: Un malware anti-piratería disfrazado de videojuego

Una compañía de ciberseguridad descubre un malware que te impide acceder a páginas web, pero de descarga ilegal.

El virus que te protege de otros virus: Un malware anti-piratería disfrazado de videojuego

¿Qué es una vacuna? Se trata de “una preparación destinada a generar inmunidad adquirida contra una enfermedad, mediante la estimulación de la producción de anticuerpos”. Y su gracia es que contiene un agente que se asemeja a un microorganismo causante de la enfermedad y a menudo se hace a partir de formas debilitadas o muertas del microbio, sus toxinas o una de sus proteínas de superficie.

O sea: Te inyectan más o menos el mismo virus contra el que te quieren vacunar, forzando a tu cuerpo a que prepare medidas y anti-cuerpos. Imagina adaptar ese proceso a Internet, ¿un virus que nos infectaría para protegernos de otros virus? Pues existe ya.

El virus creado para protegerte de otros virus



La compañía de seguridad Sophos ha anunciado en un artículo el descubrimiento de este código maligno, e indicó que se desconoce la procedencia y motivación del 'malware', que, al contrario que la mayoría, no busca el robo de datos personales ni información privada.

En lugar de intentar robar contraseñas o extorsionar al propietario del ordenador para pedir un rescate, este malware bloquea los ordenadores de los usuarios infectados para que no puedan visitar un gran número de sitios web dedicados a la piratería de software, modificando el archivo HOSTS del sistema infectado.

La modificación del archivo HOSTS es un método "burdo pero eficaz para impedir que un ordenador pueda acceder a una dirección web. Es burdo porque, aunque funciona, el malware no tiene ningún mecanismo de persistencia. Cualquiera puede eliminar las entradas después de haberlas añadido al archivo HOSTS, y permanecen eliminadas (a menos que se ejecute el programa una segunda vez)".

Según el analista de Sopos, “No pudimos discernir la procedencia de este malware, pero su motivación parece bastante clara”: Impide que la gente visite sitios web de piratería de software (aunque sólo sea temporalmente), y envía el nombre del software pirata que el usuario esperaba utilizar a un sitio web, que también entrega una carga útil secundaria. El archivo añade desde unos cientos hasta más de 1000 dominios web al archivo HOSTS, apuntando a la dirección localhost, 127.0.0.1.

Juegos falsos en Discord

Al menos una parte del malware, disfrazado de copias piratas de una gran variedad de paquetes de software, se alojaba en el servicio de chat de juegos Discord. Otras copias, distribuidas a través de Bittorrent, también llevaban nombres de juegos populares, herramientas de productividad e incluso productos de seguridad, acompañados de archivos adicionales que hacían pensar que se habían originado en una conocida cuenta de intercambio de archivos en ThePirateBay.

Parece que hay cientos de marcas de software diferentes representadas por los nombres de archivos encontrados en una búsqueda en Virustotal de muestras relacionadas. Archivos como "Left 4 Dead 2 (v2.2.0.1 Last Stand + DLCs + MULTi19)" y "Minecraft 1.5.2 Cracked [Full Installer][Online][Server List]" imitan las convenciones de nomenclatura utilizadas habitualmente para etiquetar el software pirata.

Los archivos que aparecen alojados en el sistema de intercambio de archivos de Discord suelen ser archivos ejecutables solitarios. Los que se distribuyen a través de Bittorrent "se han empaquetado de una forma que se asemeja más a la forma en que se suele compartir el software pirata mediante ese protocolo": Añadido a un archivo comprimido que también contiene un archivo de texto y otros archivos auxiliares, así como un viejo archivo de acceso directo a Internet que apunta a ThePirateBay

Qué hace el malware

La experiencia del usuario final al ejecutar el malware es breve. Al hacer doble clic, aparece un falso mensaje de error que dice: "El programa no puede iniciarse porque falta MSVCR100.dll en su ordenador. Intente reinstalar el programa para solucionar este problema".

Sophos explica que al ejecutarse, el 'malware' hace comprobaciones sobre la conexión de red para ver si puede establecerse en ella y, en tal caso, contacta el Identificador de recursos uniforme (URI, por sus siglas en inglés), el nombre único de cada archivo, de un dominio específico que es un URL fake de 1fichier.com.



Las modificaciones que realiza en el archivo HOSTS prohíben que el usuario acceda al dominio real. De esta forma, lo que hace es añadir una lista de más de 1.000 dominios web y los lleva a una dirección de servidor local, aunque algunas de ellas no tienen que ver con la piratería.

Detección y limpieza

¿Qué puedes hacer si tienes este extraño malware -o deberíamos llamarlo 'goodware'? Los usuarios que hayan ejecutado inadvertidamente uno de estos archivos pueden limpiar su archivo HOSTS manualmente. Para ello, Sophos indica que hay que ejecutar como administrador una copia del Bloc de Notas y modificando el archivo en:

c:\Windows\System32\Drivers\etc\hosts

Ahora debes eliminar todas las líneas que comienzan con "127.0.0.1" y hacen referencia a los diversos sitios de ThePirateBay (y otros). Con esto eliminarás el malware.