Skip to content

El video porno de Hoang Thuy Linh y el malware

Publicado por Sergio Hernando el 27 octubre 2007

Sexo y malware, esos dos viejos amigos, han encontrado un nuevo filón.

No hará mucho que una celebridad de Vietnam, Hoang Thuy Linh, se grabó con el noviete haciendo cositas malas, y bueno, ya sabemos como es Internet. El vídeo acaba en YouTube, se propaga por medio mundo y parte de los mundos lejanos, y es aquí cuando entran en juego las siempre oportunas y rapacies factorías del malware.

El juego es simple: se trata de colgar el vídeo, y pedir al usuario que accede que se baje un códec necesario para poder visualizar la intimidad de la amiga vietnamita. En este caso, se hace mención a un control ActiveX, lo que crea familiaridad con el usuario.

fake codecs

Una simple pasadita por el antivirus de Jotti deja claro que el instalador del códec viene, con toda probabilidad, con regalito:

hoangthuylinh

He visto al menos 3 o 4 instaladores diferentes, y todos producen señal de alerta en los antivirus. El amigo Kaspersky, y el amigo NOD32 no levantan sospechas, y sólo se quejan antivirus que digamos no son los más especializados en resultados segmentados de malware, como Arcavir, CPSecure, Rising o el propio ClamAV. De los únicos que se quejan, el único resultado que me parece algo creíble es del de Sophos, y tampoco podría la mano en el fuego por un resultado de este producto.

Sobre estos resultados, se debe pensar lo de siempre: o son falsos positivos (en motores basados en detección por firmas), o bien la frescura de la muestra hace que los motores no detecten adecuadamente el patrón, por falta de actualización. En productos heurísticos, cabe la posibilidad de que el ejecutable no haga que salten los patrones comportamentales, si bien tal y como están las heurísticas en estos tiempos que corren, con la excepción de NOD32, tampoco es para fiarse, ya que es frecuente que sean heurísticas muy paranoicas, que saltan a la más mínima sospecha, o muy pasivas (no saltan ni a la comba). Y es que no todo el mundo tiene un Anton Zajac en su laboratorio antivirus :)

Ante la duda, lo que procede es ser prudentes, con lo que es sensato extremar las precauciones, ya que es muy frecuente que el porno y los codecs traigan regalito sorpresa. Si me animo a calificar como "probables portadores de malware" a estos instaladores, es porque existen precedentes. Según Sophos, este dropper es muy frecuente justo en el ámbito que estamos describiendo, ya que la familia suele camuflarse en falsos instaladores de códecs para poder proporcionar acceso a material pornográfico. En muchos casos, el acceso al vídeo es posible, si bien el payload instala un troyano que descarga e instala de forma transparente, desde sitios maliciosos, otros componentes al sistema, especialmente los habituaes en el robo de credenciales.

¿Para qué hacer malware sigiloso si cuando hay porno y vídeos por medio el camino al fraude tecnológico está hecho?

Un saludo, y cuidadito. Como sucede en la vida real, el sexo promiscuo en Internet suele traer graves consecuencias, y conviene adoptar todas las medidas de precuaución a nuestro alcance para evitar sopresas desagradables :)

Be Sociable, Share!

Categoría/s → Malware

7 comentarios
  1. 28 octubre 2007

    Currito,

    En ese momento, cosa rara, había poca carga en Jotti y pasé el exe por ese agregador de motores.

    Pero vamos, el “virustotal de mis ex-coleguitas” es una buena opción, claro que lo es. En estos casos es recomendable obtener resultados de cuantos más motores, mejor. Aunque sinceramente, los únicos resultados que me suelen interesar son los de Kaspersky y NOD, y eventualmente los de ClamAV, ya que son, como bien podrás imaginar, “la niña de mis ojos” :)

    Un saludo,

  2. 28 octubre 2007

    Vaya, quitando un trackback de Spam en esta entrada me he cargado el comentario de Currito, que venía a decir lo siguiente:

    Oye, ¿por qué usar jotti y no el virustotal de tus ex-coleguitas??

    Mil perdones.

  3. 29 octubre 2007
    jcbarreto permalink

    ¿Nos puedes pasar el video limpio? Es broma ;-)

    Guárdate el “instalador de codec” y vuélvelo a subir dentro de 2-3 días al virustotal, jotti o el que sea.
    Luego de 4-6 días, otra vez… así hasta 3 semanas.

    Ya sabes qué sucede. Tú mismo lo indicaste:

    http://winnow.oitc.com/malewarestats.php
    http://www.sahw.com/wp/archivos/2007/02/24/estadisticas-antivirus-tasas-de-deteccion-de-los-30-antivirus-mas-populares-para-windows/

    Así que el dichoso pseudo-codec, en un PC normalito, vivirá a sus anchas durante… digamos… un par de semanas y hará a saber qué. Hasta que nuestro antivirus lo pille y se lo cargue.

    … Y además, nuestro antivirus haga “rollback” de tooodo el daño que nos haga durante esas 2 semanas, en nuestro PC, nuestros amigos y nuestras cuentas bancarias, eventualmente.

    Ah!? ¿no es así?

    Bueno en serio:

    Dependemos de la heurística, inteligencia colectiva o como se llame según marca y principios de la casa antivirus de turno.

    O del ‘preservativo’ (con perdón) que se llama *virtualizacion* on the CLIENT side (proteccion por snapshot).

  4. 29 octubre 2007
    jcbarreto permalink

    Por cierto, a mí particularmente me interesan los resultados [Virustotal, etc] de AntiVir, Prevx, Kaspersky y Nod, en ese orden.

  5. 29 octubre 2007

    jcbarreto,

    Que conste que NO tengo el vídeo :) (lo digo porque me han llegado tres peticiones para que les diga dónde verlo)

    Estaba en YouTube, y como es normal, ha sido retirado. Si hago la alerta es precisamente para que la gente extreme el cuidado a la hora de tratar de visualizarlo.

    No haré seguimiento del instalador, porque no tengo tiempo. Pero a buen seguro, ya estará considerado por la mayoría de antivirus como un ejecutable peligroso.

    Un saludo,

Trackbacks & Pingbacks

  1. Último Informe del CERT para P | Bla.es
  2. Primer Informe del CERT para PYM | Bla.es

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS