El video porno de Hoang Thuy Linh y el malware

Sexo y malware, esos dos viejos amigos, han encontrado un nuevo filón.

No hará mucho que una celebridad de Vietnam, Hoang Thuy Linh, se grabó con el noviete haciendo cositas malas, y bueno, ya sabemos como es Internet. El vídeo acaba en YouTube, se propaga por medio mundo y parte de los mundos lejanos, y es aquí cuando entran en juego las siempre oportunas y rapacies factorías del malware.

El juego es simple: se trata de colgar el vídeo, y pedir al usuario que accede que se baje un códec necesario para poder visualizar la intimidad de la amiga vietnamita. En este caso, se hace mención a un control ActiveX, lo que crea familiaridad con el usuario.

fake codecs

Una simple pasadita por el antivirus de Jotti deja claro que el instalador del códec viene, con toda probabilidad, con regalito:

hoangthuylinh

He visto al menos 3 o 4 instaladores diferentes, y todos producen señal de alerta en los antivirus. El amigo Kaspersky, y el amigo NOD32 no levantan sospechas, y sólo se quejan antivirus que digamos no son los más especializados en resultados segmentados de malware, como Arcavir, CPSecure, Rising o el propio ClamAV. De los únicos que se quejan, el único resultado que me parece algo creíble es del de Sophos, y tampoco podría la mano en el fuego por un resultado de este producto.

Sobre estos resultados, se debe pensar lo de siempre: o son falsos positivos (en motores basados en detección por firmas), o bien la frescura de la muestra hace que los motores no detecten adecuadamente el patrón, por falta de actualización. En productos heurísticos, cabe la posibilidad de que el ejecutable no haga que salten los patrones comportamentales, si bien tal y como están las heurísticas en estos tiempos que corren, con la excepción de NOD32, tampoco es para fiarse, ya que es frecuente que sean heurísticas muy paranoicas, que saltan a la más mínima sospecha, o muy pasivas (no saltan ni a la comba). Y es que no todo el mundo tiene un Anton Zajac en su laboratorio antivirus :)

Ante la duda, lo que procede es ser prudentes, con lo que es sensato extremar las precauciones, ya que es muy frecuente que el porno y los codecs traigan regalito sorpresa. Si me animo a calificar como «probables portadores de malware» a estos instaladores, es porque existen precedentes. Según Sophos, este dropper es muy frecuente justo en el ámbito que estamos describiendo, ya que la familia suele camuflarse en falsos instaladores de códecs para poder proporcionar acceso a material pornográfico. En muchos casos, el acceso al vídeo es posible, si bien el payload instala un troyano que descarga e instala de forma transparente, desde sitios maliciosos, otros componentes al sistema, especialmente los habituaes en el robo de credenciales.

¿Para qué hacer malware sigiloso si cuando hay porno y vídeos por medio el camino al fraude tecnológico está hecho?

Un saludo, y cuidadito. Como sucede en la vida real, el sexo promiscuo en Internet suele traer graves consecuencias, y conviene adoptar todas las medidas de precuaución a nuestro alcance para evitar sopresas desagradables :)