monarona y el antivirus falso

La semana pasada, varios vendedores de antivirus, comenzaron a recibir reportes de
un incremento de usuarios infectados por algo llamado "MonaRonaDona virus", una
pieza de malware que amenaza con el mal funcionamiento de las computadoras en
protesta por la violación de los derechos humanos.

Pero en este caso, solo se trata de un trozo de código relativamente inocuo, creado
con la intención de asustar a la gente para que compre un nuevo (y falso), antivirus.
Una variante un poco más sofisticado del clásico chantaje con virus como Fenc.A,
Cryzip.A, Gpcode.B y otros, que ofrecen instrucciones para reparar los archivos
modificados, a cambio de transferir cierta cantidad de dinero a alguna cuenta
bancaria.

El mecanismo de infección, parece haber sido la descarga de un falsa herramienta de
optimización llamada "RegistryCleaner2008". Al ejecutarse la misma, un archivo de
nombre "srvspool.exe" es instalado en la carpeta de inicio de Windows, de tal modo
que el virus se vuelve a ejecutar en cada reinicio. Nada sofisticado por cierto.

Lo que pronto queda muy claro, es que el principal objetivo del virus, es llamar la
atención sobre si mismo, contrastando con la tendencia de la mayoría del malware
moderno, que utiliza a los equipos de los usuarios infectados para obtener ganancias
millonarias de múltiples formas, siendo la base de su éxito pasar lo más
desapercibidos posible en los equipos infectados.

En este caso, el MonaRonaDona se hace muy visible, porque su objetivo es obtener
ganancias con la venta de un supuesto antivirus capaz de eliminarlo. El truco
montado, es llevar a los usuarios a buscar en buscadores como Google, información
sobre el virus y de como eliminarlo.

Al principio, poca información sobre el MonaRonaDona podía ser encontrada, pero
curiosamente una de las entradas llevaba a la página de un muy reciente producto
antivirus (unigray.com, actualmente no accesible). En dicha página, una noticia
sobre "nuevas amenazas de spyware", mostraba en el primer lugar al
MonaRonaDona.

En otras entradas en Google, un blog de alguien que firma como "ParadiseForever"
afirma que "el virus de computadora Monaronadona está causando estragos
infectando a ordenadores en todo el mundo", y que "la única solución sería instalar
un buen paquete de software antivirus." Aunque menciona a productos muy
conocidos, el post afirma "que pueden no funcionar con este virus, y que en cambio
[el hasta ahora desconocido] Unigray Antivirus es el único capaz de quitarlo". Por
supuesto, hay un enlace a la descarga de este falso antivirus.

Pero ese no es el único resultado de la búsqueda. Pronto aparecen otros con
alabanzas al Unigray Antivirus, incluido un vídeo de YouTube.

El objetivo final, es que el usuario que desee quitar el virus de su computadora
infectada, deberá pagar casi 40 dólares por el Unigray "el único producto capaz de
eliminarlo".

No hay que investigar mucho para que resulte claramente sospechoso el hecho que
el tal Unigray Antivirus, hace solo un par de semanas no era conocido por nadie, ni
existía su sitio web. Y que lo único que "limpia" es al tal MonaRonaDona.

Sobre este tema, el vendedor de seguridad PrevX, ha publicado una fascinante
investigación, que revela la historia completa del MonaRonaDona, realizada a partir de
las pistas que el mismo código no se preocupa en ocultar, como por ejemplo, un
enlace a una compañía de software.

El investigador, incluso llega a comunicarse telefónicamente con el dueño de dicha
compañía, una persona residente en Pakistán, la cuál, luego de una curiosa charla,
confiesa que llevó a cabo el proyecto a partir de un mensaje recibido a través de
Elance.com, un sitio donde programadores "free- lance" pueden ofrecer u obtener
trabajos.

El programador también mencionó que se contrató a escritores, a razón de 10
dólares el artículo, para escribir comentarios falsos sobre el MonaRonaDona y Unigray,
"y también sobre el RegistryCleaner2008."

Aunque ya nada debería sorprendernos, no deja de ser asombroso hasta que grado
de sofisticación se puede llegar para crear este tipo de estafas.

El MonaRonaDona no causa ningún daño grave al sistema, pero interfiere con su
correcto funcionamiento, además de provocar molestias al usuario, influyendo
negativamente en la productividad del equipo. El malware no deja que se ejecuten
ciertos programas (como el Administrador de tareas de Windows), modifica el título
de la ventana del Internet Explorer para incluir su nombre, y muestra una ventana
de advertencia.



* Más información:

MonaRonaDona - We might be in the AV industry, but at least we aren't STUPID!
http://tinyurl.com/3a4pb2

MonaRonaDona Mystery Solved
http://blog.threatfire.com/2008/03/monaronadona-mystery-solved.html

MonaRonaDona "virus"?
http://www.dslreports.com/forum/r20082590-MonaRonaDona-virus