Registry Optimizer de Aido

Con una gran interfaz de usuario, donde hasta se puede ver un contrato de licencia (CLU) y una serie de premios que “ha recibido” el falso software, el Rogue Registry Optimizer de Aido que hacen que el usuario mas confiado “pique” y permita que el software se aloje en su equipo.

Como se propaga

Se propaga como casi todos los software maliciosos, o bien por unidades de red compartidas o por medio de dispositivos USB, haciendo una copia de si mismo en el directorio raíz del dispositivo, creando un fichero autorun.inf para reproducirse automáticamente en cuanto se enchufe el dispositivo.

Que es Registry Optimizer de Aido

Por su parte, Registry Optimizer es un nuevo ejemplar de los cada vez más comunes falsos antivirus. Recomendamos, una vez mas, que cada vez que se descargue algún antivirus se contraste la fuente con la lista de fabricantes de antivirus verdaderos, para evitar, en la medida de lo posible, errores en la descarga y que, en caso de ser un “antivirus de pago” (que existen) el creador del malware es capaz de robar los datos bancarios o tarjetas de crédito de los usuarios a la hora de realizar la transacción económica.

Registry Optimizer de Aido

En la imagen podeis ver que el Registry Optimizer, una vez instalado, lanza un supuesto análisis del PC, para mostrar una serie de amenazas (todas falsas, como no), crear un icono en el escritorio y abrirse cada vez que el ordenador se  reinicia, dando opción al usuario a registrar el producto a cambio del pago de la licencia, con lo que consigue, además, los datos bancarios como hemos dicho antes.

Como saber si se está infectado con el Registry Optimizer de Aido. ¿Como saber si tienes el Registry Optimizer?

En caso de que aparezcan en tu ordenador los siguientes ficheros:

• %Archivos de Programa%\Adio Registry Optimizer\DIORO.exe
• %Archivos de Programa%\Adio Registry Optimizer\UNINST.EXE

Y en el registro de Windows las siguientes claves

• Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  Valor: Adio Registry Optimizer = C:\Archivos de programa\Adio Registry Optimizer\adioro.exe /s
  Mediante esta entrada, RegistryOptimizer consigue ejecutarse cada vez que Windows se inicia.
• Clave: : HKEY_CURRENT_USER\Software\Adio Registry Optimizer\adioro\UI
  Valor: Valor: Last Scan = %fecha y hora%
• Clave: HKEY_CURRENT_USER\Software\Adio Registry Optimizer\adioro\UI
  Valor: Last Scan Result = 4E, 00, 00, 00
• Clave: HKEY_CURRENT_USER\Software\Adio Registry Optimizer\adioro\UI
  Valor: Selected Modules = 01, 01, 01, 01, 01, 01, 01, 01, 01, 01, 01, 01, 01
• Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Adio Registry Optimizer
  aid = 5
• Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Adio Registry Optimizer
  Installdate = %fecha y hora%
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ App Paths\ adioro.exe
  (Default) = C:\Archivos de programa\Adio Registry Optimizer\adioro.exe
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
  Valor: DisplayIcon = C:\Archivos de programa\Adio Registry Optimizer\adioro.exe
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
  Valor: DisplayName = Adio Registry Optimizer 1.5
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
  Valor: DisplayVersion = 1.5
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
  Valor: NSIS:StartMenuDir = Adio Registry Optimizer
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
  Valor: Publisher = AdioSoft Inc
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
  Valor: UninstallString = C:\Archivos de programa\Adio Registry Optimizer\uninst.exe
• Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ Adio Registry Optimizer
  Valor: URLInfoAbout = hxxp://www.adioro.com

Como eliminar y quitar el Registry Optimizer de Aido

Para eliminar el Registry Optimizer de Aido intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema, para quitar el Registry Optimizer de Aido pruebe lo siguiente:

1. Desactivar temporalmente la Restauración del Sistema.
2. Reiniciar el ordenador a Modo a Prueba de Fallos.
3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
4. Elimine los archivos explicados en ¿Como saber si está infectado?
5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
7. Eliminar archivos temporales
8. Reiniciar el ordenador

Como se propaga el Registry Optimizer de Aido

La propagación habitual de este tipo de aplicaciones fraudulentas se realiza a través de las redes para compartir archivos y los usuarios suelen descargarlos involuntariamente al estar bajo otro nombre o junto a contenidos deseados. Otra manera por la que puede propagarse es mediante páginas que anuncian las bondades del programa y permiten que el usuario lo descargue voluntariamente, pensando que es una muestra gratuita o de prueba y que va a resolver sus necesidades. En el caso de este programa fraudulento, la página mostraba incluso premios “otorgados” para mostrarse más creíble.

Fuente: Enciclopedia de Panda Security +

Posts relacionados

• Gusano Rekwoj: Como eliminarlo (0)
• Como evitar el phishing: 10 claves para impedir el phishing (2)

El segundo malware es un troyano llamado Jahlav-C que está incluido en un sitio online aparentemente de pornografía. Se enmascara como un códec de vídeo ActiveX que necesita descargarse para poder ver el contenido.

Graham Cluley, consultor tecnológico de Sophos dice que aunque hay mucha gente que compra ordenadores Apple porque son más atractivos en cuanto a diseño, otros muchos se pasan a Mac “porque están hartos del spyware, ventanas emergentes y ataques de virus”. Pero con el tiempo es probable que los problemas de seguridad de Windows se trasladen a Mac.

Fuente: Rosalía Arroyo [11-06-2009]

Posts relacionados

• Antivirus para Apple (0)

Microsoft Malicious Software Removal Tool is installed. Click this message to start scanning process or it will start automatically in 10 seconds.

FakePowaw.b. Primera muestra de ataque

Si se realiza el clic o si se agotan los 10 segundos que muestra la pantalla, el siguiente pop-up aparecerá, simulando que realiza operaciones de análisis en el ordenador atacado. Decimos simulando por que el análisis no se lleva a cabo en realidad.

Quick scan in progress. The tool is scanning your computer for prevalent malicious software.

FakePowaw.b Segundo pantallazo

El falso antisoftware malicioso FakePowav.B “encuentra” una serie de infecciones en el equipo atacado:

• Kelogger.Stawin
• Spyware.ActivityKey
• W32.Rinbot.H
• W32.Rinbot.H

FakePowaw.b Pantallazo3

Y te “incita” a adquirir un antivirus con el siguiente mensaje:

The tool can’t remove all malicious software shown in the scan results. Because malicious software is present on your computer, you should use an antivirus product to scan for and remove all malicious software.

Mostrando una ventana donde podrás “comprar” los softwares de antivirus mas famosos del mercado: Norton, McAfee,…

OEM Purchase Center. This service helps keep your computer more secure and up to date with latest software for Windows.

FakePowaw.b Pantallazo de compra

Puedes cerrar la ventana sin comprar, pero aparecerá una burbuja en la barra de tareas inferior donde aparece el siguiente texto:

Security warning. Your computer is infected with malicious software. You should use antivirus product to remove it. Click this message to purchase recommended antivirus software.

FakePowaw.b Burbuja remanente

Sin embargo, en caso de que el atacado sea incauto y se dirija a la compra del software de antivirus, la web que se abrirá será oem-micro-store.com

El troyano FakePowav.B se mostrará con la siguiente pantalla, donde imitará al Windows Security Center, y le mostrará como si el antivirus, la protección contra virus estuviera deshabilitada.

Troyano FakePowav.B Security Center.exe

Como saber si se está infectado con el FakePowav.B. ¿Como saber si tienes el FakePowav.B?

En caso de que aparezcan en tu ordenador los siguientes ficheros:

• Carpeta de Archivos de programas\MalwareRemoval\MalwareRemoval.exe
• Carpeta de Archivos de programas\MalwareRemoval\Security Center.exe
• X:\Windows\Profiles\{nombre de usuario}\Application Data\1\spl.ini
• X:\Windows\Profiles\{nombre de usuario}\Application Data\MalwareRemoval\MalwareRemoval.ini

En caso de manejar otros Windows como el NT, la carpeta de Archivos de Programas podría ser C:\Program Files y en el caso de la carpeta de Application Data C:\WINNT\Profiles\{nombre de usuario}\Application Data

En caso de manejar windows 2000, XP o Server 2003, la carpeta de Aplication Data sería C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data

Como eliminar y quitar el FakePowav.B

Para eliminar el FakePowav.B intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema, para quitar el FakePowav.B pruebe lo siguiente:

1. Desactivar temporalmente la Restauración del Sistema.
2. Reiniciar el ordenador a Modo a Prueba de Fallos.
3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
4. Elimine los archivos explicados en ¿Como saber si está infectado?
5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
7. Eliminar archivos temporales
8. Reiniciar el ordenador

Fuente: Microsoft(+)

Posts relacionados

• Peerfrag.FM (0)
• Virus Koobface.C (0)
• Gusano Alcan (0)
• Gusano Eggdrop.AA (0)
• Tercera variante del Downandup/Conficker: W32 Downandup C (0)
• Las 10 principales amenazas de seguridad en internet (1)
• AVG anuncia la lucha contra Microsoft por el Antivirus gratuito (1)
• Que es Alertvir (0)
• Morro: Antivirus Microsoft Gratis (2)

El W32 Downandup C, la nueva versión del Conficker, consiste en un componente modular dirigido contra máquinas ya infectadas con el gusano. La buena noticia es que este componente no está diseñado para autoreplicarse, que hace asemejarse el nuevo módulo a un troyano, en vez de un gusano, como ocurría con el Downandup A y el Downandup B.

Vincent Weafer, vicepresidente de Symantec Security Response declaró:

Debe pensarse en este malware como si se tratara de un módulo de actualización que hace al software original más agresivo, más fuerte y capaz de defenderse a sí mismo.

El viernes pasado la compañía de seguridad Symantec puso sobre aviso a la comunidad tras ser descubierta por uno de los “cebos” y, en plena fase de investigación, se espera poder mostrar la información obtenida en pocos dias.

Las máquinas, basadas en Windows, que ya estén infectadas de las variantes anteriores del Downandup / Conficker deben protegerse sobremanera de esta nueva mutación, porque el malware está diseñado principalemnte para desactivar el software antivirus, con todo lo que esto conlleva.

Posts relacionados

• Listado de programas antivirus reales (1)
• Virus Koobface.C (0)
• FakePowav.B (0)
• Downandup: como eliminarlo (23)
• Hackear facebook, un negocio muy rentable (0)
• Symantec, indemnizada con más de 8 millones de euros por un distribuidor (0)
• Las 10 principales amenazas de seguridad en internet (1)
• Antivirus para Apple (0)
• Norton Antivirus 2009 Gaming Edition (0)
• Que es Alertvir (0)

Los ataques por uso de codigo malicioso, virus, troyanos y similares son los mas usados para hacerse con las transacciones bancarias a través del acceso para posterior robo de sus bases de datos. Así pues el modus operandi es claro: acceso a los sistemas de instituciones financieras para la obtención de cuentas de correo electrónicos y conseguir hacerse con el control de los usuarios de bancos, muchos mas facil de “timar” que una gran entidad bancaria.

También habló Dmitry Bestuzhev, analista de virus para América Latina de Kaspersky Lab.,

estos ataques son producidos en la impunidad total, ya que en la región, en especial en México, no hay una regulación adecuada para atacar a los delincuentes cibernéticos. Si bien en el país existe una Policía Informática, la Agencia Federal de Investigación (AFI) sólo se concentra en investigar redes de criminales de pornografía infantil que utilizan la Internet, sin considerar que existen otras áreas descuidadas como es el robo de identidad y la sustracción de recursos a través de transacciones bancarias, e incluso, en las nuevas modalidades para robar recursos vía SMS en celulares.

A través del engaño a usuarios desprevenidos los cibercriminales cometen sus fechorías. Mediante supuestos premios obtenidos en concursos, se envían mensajes SMS, diciendo que se ganó un premio, y sólo debe reenviar el mensaje con alguna leyenda. Con ello, los delincuentes roban identidad y el saldo del teléfono celular.

La mayor parte de estos robos se deben, sobre todo, al descuido de los usuarios que carecen de una cultura informática que dejan “abiertas las puertas” a los cyber-delincuentes: son los mas propensos a contestar ataques de phishing, contestar mensajes en los teléfonos moviles y similares.

Números de la ciberdelincuencia

Cada dos segundos se genera un virus malicioso (malware) de toda especie, desde troyanos hasta gusanos y códigos spyware. China es la nación que más genera virus en el mundo, con alrededor de 100 mil virus por día, muchos de los cuales violan la seguridad de los antivirus.

Posts relacionados

• Virus ‘A tua foto’ (0)
• Listado de programas antivirus reales (1)
• Virus Koobface.C (0)
• Kaspersky Internet Security 2010 y Kaspersky Antivirus 2010 (0)
• Osiatis y Kaspersky, unidos bajo la seguridad (0)
• Kaspersky Mobile Security 8.0 (0)
• Descarga Kaspersky Anti-virus para el Windows7 (1)
• Hackear facebook, un negocio muy rentable (0)
• Kaspersky Hosted Security Services (0)
• Que es Alertvir (0)

Como sus predecesores, el Antivirus2009 usa troyanos tales como Zlob o Vundo para entrar en tu ordenador. Estos troyanos suelen venir camuflados en codecs de video o juegos de descarga gratuitos de dudosa procedencia. Una vez que los troyanos se instalan, van soltando pop-ups con falsos anuncios en el que te avisan de que tu ordenador ha sido infectado. Debido a estos continuos anuncios de virus, muchos de los usuarios clican en los anuncios que aparecen una y otra vez. Estos popups avisan de falsos virus y falsos programas espias.

El falso antivirus 2009 secuestra google

Si el usuario intenta hacerse con un antivirus de los conocidos, como www.mysecuritycenter.com, el troyano redirige a los sitios GoogleScanners-360.com, BestAntivirusScan.com and SecureClick1.com sitios de venta de programas de malware. Así pues, el usuario del ordenador

Asi pues, el falso “antivirus 2009″ es un spyware malicioso que utiliza un montón (decenas) de avisos falsos, avisos publicitarios en forma de pop-ups, mostrando información falsa sobre infecciones, eliminacion de esas falsas infecciones y asustar al usuario, con lo que incitas al internauta a bajarte el nuevo antivirus 2009, de forma gratuita.

Y el internauta suele “picar”.

Como eliminar este falso Antivirus 2009

Recomendamos, siempre, antes de navegar por internet, comprar un buen antivirus. Si el virus ya se ha instalado, recomendamos realizar los siguientes pasos:

1. Desactivar la opcion de “Restaurar el Sistema”
2. Descargar el CCleaner
3. Descargar el Ad-aware
4. Descargar el Spybot Search & DestroyBueno, si ya tenemos todos los programas en nuestro poder (OJO, NO INSTALADOS), seguimos:
5. Reiniciar el PC y antes de que windows se ejecute, pulsar F8
6. Elegir la opcion “Modo Seguro” (con la ejecución en “Modo Seguro” evitamos que, temporalmente, ese virus llamado “Antivirus 2009″ se active)
7. Ejecutar limpieza con el CCleaner y seleccionar la opcion de eliminar las cookies y los archivos temporales
8. Pasar el Ad-Aware en “Análisis completo”, con lo que eliminaremos las posibles entradas sospechosas
9. Analizar con el Spybot Search & Destroy, buscando el “Analizar problemas”, con lo que intentaremos eliminar cualquier posible entrada comparativa que se nos haya escapado en los pasos 6 y 7

En este momento sería el mejor momento para instalar el antivirus de MySecurityCenter. Con un escaneo de tu antivirus, al reinicar el PC, en circunstancias normales, ya no debe estar.

Otra forma de eliminar este falso Antivirus 2009

1. Descargar el programa que elimina unos softwares de antispyware denominado Malwarebytes Anti-malware
2. Reiniciar el PC y antes de que windows se ejecute, pulsar F8
3. Ejectuar el Malwarebytes Anti-malware y “analizar”
4. Cuando aparezcan los programas, hay que seleccionar la opcion de quitar de la lista.
5. Reiniciar el equipo

Comportamiento del Antivirus 2009

• Ralentizar el PC.
• Produce falsos positivos (realmente produce ventanas simulando el antivirus).
• Secuestra la página de Google (como hemos visto en la imagen anterior), con la recomendación de comprar la versión de pago.

Posts relacionados

• No Related Post