LizaMoon es una pieza de malware que infectó miles de sitios web a partir de septiembre de 2010. Es un ataque de inyección SQL que propaga scareware animando a los usuarios a instalar "software antivirus" innecesario y fraudulento. [1] Aunque no utiliza nuevas técnicas de infección, inicialmente se pensó que era notable en función de la escala y la velocidad a la que se propagó, y que afectó a algunos de los servicios de iTunes de Apple . LizaMoon fue informado inicialmente al público en general por Websense Security Lab. [2]
Declaraciones de prensa iniciales [ ¿cuáles? ] informó de la infección de cientos de miles o de millones de sitios infectados. McAfee estimó aproximadamente 1,5 millones de hosts afectados entre marzo y abril de 2011. Sin embargo, investigaciones posteriores han mostrado una tasa de infección mucho menor. Aunque las estimaciones iniciales de la infección basadas en los datos de búsqueda de Google fueron pensadas [¿ por quién? ] para mostrar cientos de miles de sitios infectados, el número real parece ser solo de miles: según Niels Provos, investigador de seguridad de Google, la base de datos de navegación segura de Google indica que los ataques de LizaMoon comenzaron alrededor de septiembre de 2010 y alcanzaron su punto máximo en octubre de 2010, con aproximadamente 5600 sitios infectados. [3] La investigadora de Cisco Mary Landesman ha confirmado que la tasa de infección parece bastante baja. [4]
La forma en que se atacaron los sitios web que propagaron la infección sigue siendo un misterio. Sin embargo, los piratas informáticos pueden inyectar códigos maliciosos en sitios web vulnerables y populares para propagar la infección una vez que los usuarios visitan estos sitios. Los usuarios nunca deben permitir la instalación de software de procedencia desconocida desde Internet bajo ninguna circunstancia; aquellos que sigan esta política no pueden ser infectados por LizaMoon. Estos tipos de malware, conocidos como software antivirus fraudulento , tienen diferentes nombres y logotipos, como "XP Security 2011", "Malware Scanner" o similar. Después de la instalación inicial, el software ejecuta un escaneo falso que muestra malware no existente en el sistema y, en muchos casos, requiere que el usuario pague para eliminar el supuesto malware.
Al igual que con todo el malware, es más fácil para un usuario lidiar con LizaMoon evitándolo en lugar de intentar reparar el daño que causa después del hecho. Afortunadamente, LizaMoon es fácil de evitar para la mayoría de los usuarios. El software requiere que el usuario participe activamente en su descarga e instalación. De hecho, para infectarse, un usuario debe dar permiso al software cuatro veces. LizaMoon le pide al usuario que instale un software antivirus falso para eliminar varios "virus" inexistentes de la PC. El software antivirus falso que está instalado se llama Windows Stability Center. A partir del 1 de abril, el archivo que se descarga actualmente es detectado por solo 13 de los 43 motores antivirus según VirusTotal. [5]