Otro sitio falso que descarga malware camuflado como códec de video:
El archivo que se descarga puede variar de nombre, en este caso se llama xvidinstall.exe, otros enlaces de la página descargan el mismo troyano pero con otro nombre XvidSetup.exe (VT 16/43).
Lo comento porque están apareciendo muchas páginas como esta, de hecho hace unos días producto de un ataque de seo-spam, se podía terminar en una de ellas navegando por la sección de seguridad del sitio de Microsoft.
XviD es un códec de video real, necesario para reproducir videos que son comprimidos con esta tecnología, los atacantes juegan con eso para engañar a los usuarios y hacerles creer que se trata de una descarga legítima.
Lo mismo hacen con actualizaciones falsas de Flash, reproductores falsos, complementos Java, etc… para evitar todos estos engaños hay que tener cuidado con las descargas que se aceptan y ante la duda, no descargar nada y preguntar en algún sitio de ayuda o foro.
A mí me pueden encontrar en @spamloco, facebook.com/spamloco y el foro :)
@7, prueba restaurando el sistema a un punto anterior cuando todo funcionaba bien y realizar un nuevo análisis con el antivirus.
Si no puedes restaurar, prueba pasar un antivirus online o alguno desde un cd. En el blog hay varios comentados.
Disculpe mi hermano justamente hace unos dias tengo un problema con mi equipo analizando el equipo el antivirus me advirtio de
un virus gusano, lo elimine pero el equipo esta como loco. y ese mismo dia estaba descargando algunos programas para mi ordenador.
No hay problema.
Hay un programa que se llama Megaviewer que permite ver videos en streaming y parece que la gente lo busca en Google, entonces terminan en estas páginas descargando el archivo, en las páginas no hay videos ni nada para ver, sólo la descarga fraudulenta.
Hoy estuve viendo lo que se descarga, hay muchas páginas similares, por ejemplo si se busca "megaviewer on tv" aparecen algunas.
Al principio creí que sería un engaño similar a este, del programa TubeDownloader, algunos montan estas páginas "clones" para infectar y propagar sus troyanos personalizados.
Pero se trata de un instalador modificado que instala XviD y aparte descarga un plugin en el navegador que luego muestra publicidad, banners, etc. Ahí está el negocio.
Esto explica por qué en VirusTotal algunos motores los clasifican como Adware.
Un saludo.
Disculpa que siga insistiendo pero de que forma le dan publicidad a la página, que se supone que van a ver las personas que entren ahí?
Si, es posible.
No lo analicé porque se veía de lejos que era falso por el contexto de la página, sólo lo descargué y envié a VT.
No lo clasifican todos los motores de igual forma, algunos sólo lo marcan como sospechoso o posible Downloader, es decir, troyano que luego descarga cualquier otra cosa.
El sitio sigue online aún: http://www.robtex.com/dns/megaviewer.tv.html#whois
El archivo supongo que será un troyano que luego lo usarán para una botnet no?
Si, en este caso como utilizan un dominio que fácilmente es bloqueado, supongo que la idea era aprovechar sus primeras horas de vida.
VirusTotal envía la muestra a todas las empresas de antivirus, así que eso ayuda bastante también.
Por lo que veo no se molestan mucho en hacerlo indetectable, he visto en otros post también análisis en VirusTotal y siempre tienen un alto % de detenciones.