WinFixer [a] era una familia de programas de seguridad fraudulentos de scareware desarrollados por Winsoftware que afirmaban reparar los problemas del sistema informático en las computadoras con Microsoft Windows si un usuario compraba la versión completa del software. El software se instaló principalmente sin el consentimiento del usuario. [1] McAfee afirmó que "la función principal de la versión gratuita parece ser alarmar al usuario para que pague por el registro, al menos parcialmente basándose en detecciones falsas o erróneas". [2] El programa solicitó al usuario que comprara una copia paga del programa. [3]
![]() Captura de pantalla de la página de inicio de WinFixer | |
Tipo de sitio | Espantapájaros |
---|---|
Disponible en | inglés |
Dueño | Innovative Marketing, Inc. |
Comercial | No |
Registro | No requerido |
Estado actual | Cerrado por el gobierno federal de los Estados Unidos |
Licencia de contenido | No protegido por las leyes de derechos de autor; ver ex turpi causa non oritur actio |
La página web WinFixer (vea la imagen) dijo que "es una utilidad útil para escanear y corregir cualquier error del sistema, registro y disco duro. Garantiza la estabilidad y el rendimiento del sistema, libera espacio desperdiciado en el disco duro y recupera Word, Excel, música dañada y archivos de video ". Sin embargo, estas afirmaciones nunca fueron verificadas por ninguna fuente acreditada. De hecho, la mayoría de las fuentes consideraron que este programa realmente reduce la estabilidad y el rendimiento del sistema. Los sitios desaparecieron en diciembre de 2008 después de las acciones tomadas por la Comisión Federal de Comercio .
Métodos de instalación
![](http://wikiimg.tojsiabtv.com/wikipedia/en/thumb/2/22/WinAntiVirus_Pop-Up.png/300px-WinAntiVirus_Pop-Up.png)
Se sabía que la aplicación WinFixer infectaba a los usuarios que usaban el sistema operativo Microsoft Windows y era independiente del navegador. Un método de infección involucró al troyano Emcodec.E , una estafa de códecs falsos . Otro implica el uso de la familia de troyanos Vundo . [4]
Infección típica
La infección generalmente se produjo durante una visita a un sitio web de distribución utilizando un navegador web. Apareció un mensaje en un cuadro de diálogo o una ventana emergente que le preguntaba al usuario si deseaba instalar WinFixer, o afirmaba que la máquina de un usuario estaba infectada con malware y solicitaba al usuario que ejecutara un análisis gratuito. Cuando el usuario elige cualquiera de las opciones o intenta cerrar este cuadro de diálogo (haciendo clic en 'Aceptar' o 'Cancelar' o haciendo clic en la esquina 'X'), se activa una ventana emergente y WinFixer se descarga e instala. independientemente de los deseos del usuario.
![](http://wikiimg.tojsiabtv.com/wikipedia/en/thumb/5/56/Winfixer-message.png/400px-Winfixer-message.png)
Oferta de "prueba"
A veces se encontraba una oferta de "prueba" gratuita de este programa en ventanas emergentes. Si se descargaba e instalaba la versión "de prueba", se ejecutaría un "escaneo" de la máquina local y se "descubrirían" un par de troyanos y virus inexistentes , pero el programa no emprendería ninguna otra acción. Para obtener una cuarentena o eliminación, WinFixer requirió la compra del programa. [5] Sin embargo, los supuestos errores no deseados eran falsos y solo servían para persuadir al propietario de que comprara el programa.
Aplicación WinFixer
Una vez instalado, WinFixer lanzaba ventanas emergentes con frecuencia y solicitaba al usuario que siguiera sus instrucciones. Debido a la intrincada forma en que el programa se instaló en la computadora host (incluida la realización de docenas de ediciones del registro), la eliminación exitosa habría llevado bastante tiempo si se hubiera realizado manualmente. Cuando se ejecuta, su proceso se puede encontrar en el administrador de tareas y detenerse, pero se reinicia automáticamente después de un período de tiempo.
También se sabía que WinFixer modificaba el Registro de Windows para que se iniciara automáticamente con cada reinicio y escaneara la computadora del usuario. [6]
Ventana emergente de Firefox
El navegador Mozilla Firefox era vulnerable a la infección inicial de WinFixer. Una vez instalado, se sabía que WinFixer explotaba la extensión SessionSaver para el navegador Firefox . El programa provocó ventanas emergentes en cada inicio pidiendo al usuario que descargue WinFixer, agregando líneas que contienen la palabra 'WinFixer' al archivo prefs.js.
Eliminación
La eliminación de WinFixer resultó difícil porque deshizo activamente cualquier intento del usuario. Con frecuencia, los procedimientos que funcionaban en un sistema no funcionaban en otro porque había una gran cantidad de variantes. Algunos sitios proporcionaron técnicas manuales para eliminar infecciones que las herramientas de limpieza automatizadas no pudieron eliminar. [7]
Propiedad del dominio
La empresa que fabricó WinFixer, Winsoftware Ltd., afirmó tener su sede en Liverpool, Inglaterra (Stanley Street, código postal: 13088). Sin embargo, se demostró que esta dirección era falsa. [8]
El dominio WINFIXER.COM en la base de datos whois mostró que era propiedad de una empresa vacía en Ucrania y otra en Varsovia , Polonia . [9] Según Alexa Internet , el dominio era propiedad de Innovative Marketing, Inc., 1876 Hutson St, Honduras.
Según el certificado de clave pública proporcionado por GTE CyberTrust Solutions , Inc., el servidor secure.errorsafe.com fue operado por ErrorSafe Inc. en 1878 Hutson Street, Ciudad de Belice, BZ.
La ejecución de traceroute en dominios de Winfixer mostró que la mayoría de los dominios estaban alojados desde servidores en setupahost.net, que usaban Shaw Business Solutions AKA Bigpipe como su columna vertebral.
Información técnica
Técnico
WinFixer estaba estrechamente relacionado con el programa secuestrador / spyware Nail.exe de Aurora Network. En el peor de los casos, se incrustaría en Internet Explorer y se convertiría en parte del programa, por lo que sería casi imposible de eliminar. El programa también estaba estrechamente relacionado con el troyano Vundo . [4] [10]
Variantes
Windows Police Pro
Windows Police Pro era una variante de WinFixer. [11] David Wood escribió en Microsoft TechNet que en marzo de 2009, el Centro de protección contra malware de Microsoft vio ASC Antivirus, la primera versión del virus. Microsoft no detectó ningún cambio en el virus hasta finales de julio de ese año cuando apareció una segunda variante, Windows Antivirus Pro. Aunque desde entonces han aparecido varias versiones nuevas de virus, el nombre del virus solo se ha cambiado una vez, a Windows Police Pro. Microsoft agregó el virus a su Herramienta de eliminación de software malintencionado en octubre de 2009. [12]
El virus generó numerosas ventanas emergentes y mensajes persistentes que mostraban informes de escaneo falsos destinados a convencer a los usuarios de que sus computadoras estaban infectadas con varias formas de malware que no existen. Cuando los usuarios intentaron cerrar el mensaje emergente, recibieron cuadros de diálogo de confirmación que cambiaron los botones "Comprar versión completa" y "Continuar evaluando". [12] Windows Police Pro generó un Centro de seguridad de Windows falso que advirtió a los usuarios sobre el malware falso. [13]
Bleeping Computer y la columna distribuida "Propeller Heads" recomendaban el uso de Anti-Malware de Malwarebytes para eliminar Windows Police Pro de forma permanente. [12] [14] Microsoft TechNet y Softpedia recomienda el uso de Microsoft 's eliminación de software malintencionado Herramienta para deshacerse del malware. [12] [15]
Efectos sobre el público
Demanda colectiva
El 29 de septiembre de 2006, una mujer de San José presentó una demanda por WinFixer y "software fraudulento" relacionado en la Corte Superior del Condado de Santa Clara ; sin embargo, en 2007 se abandonó la demanda. En la demanda, los demandantes alegaron que el software WinFixer "eventualmente inutilizó el disco duro de su computadora. El programa que infectaba su computadora también expulsó su unidad de CD-ROM y mostró advertencias de virus". [16] [17] [18]
Anuncios en Windows Live Messenger
El 18 de febrero de 2007, un blog llamado "Spyware chupa" informó de que la popular mensajería instantánea de aplicaciones de Windows Live Messenger había promovido inadvertidamente WinFixer mostrando un WinFixer anuncio de uno de mensajero anfitriones de anuncios . [19] También se informó de un hecho similar en algunas páginas de Grupos de MSN . Hubo otros informes antes de este (¡uno de Patchou, el creador de Messenger Plus! ), Y la gente se había puesto en contacto con Microsoft sobre los incidentes. Whitney Burk de Microsoft emitió este problema en su comunicado oficial:
Se notificó a Microsoft sobre el malware que se estaba distribuyendo a través de anuncios colocados en los banners de Windows Live Messenger. Como resultado de esta notificación, investigamos de inmediato los informes y eliminamos los anuncios ofensivos, ya que esto constituye una violación de nuestra política de publicación de anuncios. Podemos confirmar que ningún sistema de Microsoft ya publica los anuncios. Pedimos disculpas por las molestias y estamos revisando nuestro proceso de aprobación de anuncios para reducir la posibilidad de que un incidente como este vuelva a suceder. Para ayudar a los clientes a proteger sus PC de las amenazas de malware, Microsoft recomienda a los clientes que sigan nuestra guía Proteja su PC en www.microsoft.com/protect .
- Whitney Burk, Microsoft
Comisión Federal de Comercio
El 2 de diciembre de 2008, la Comisión Federal de Comercio solicitó y recibió una orden de restricción temporal contra Innovative Marketing, Inc., ByteHosting Internet Services, LLC y los individuos Daniel Sundin, Sam Jain , Marc D'Souza, Kristy Ross y James Reno. los creadores de WinFixer y sus productos hermanos. La denuncia alegaba que la publicidad de los productos, así como los propios productos, violaban las leyes estadounidenses de protección al consumidor. [20] Sin embargo, Innovative Marketing desobedeció la orden judicial y recibió una multa de $ 8,000 por día en desacato civil. [21]
El 24 de septiembre de 2012, la Comisión Federal de Comercio multó a Kristy Ross con 163 millones de dólares por su participación en esto. [22] [23] El artículo continúa diciendo que la familia de software WinFixer fue simplemente una estafa, pero no reconoce que de hecho fue un programa que inutilizó muchas computadoras.
Notas
- ^ También conocido bajo varios nombres, entre ellos AVSystemCare, DriveCleaner, ECsecure, ErrorProtector, ErrorSafe, FreePCSecure, Inicio Antivirus 20xx, PCTurboPro, optimizador de rendimiento, Personal Antivirus, PrivacyProtector, StorageProtector, SysProtect, SystemDoctor, VirusDoctor, WinAntiSpy, WinAnti Spyware , WinAntiVirusPro, Windows Police Pro, WinReanimator, WinSoftware, WinspywareProtect, XPAntivirus y Your PC Protector .
Referencias
- ^ "Winfixer" . F-secure.com . Consultado el 14 de agosto de 2014 .
- ^ "Ataques de virus informáticos, información, noticias, seguridad, detección y eliminación | McAfee" . Us.mcafee.com . Consultado el 14 de agosto de 2014 .
- ^ "WinFixer" . Symantec . Consultado el 14 de agosto de 2014 .
- ^ a b "Cómo quitar WinFixer / Virtumonde / Msevents / Trojan.vundo" . Bleepingcomputer.com . Consultado el 14 de agosto de 2014 .
- ^ Vincentas (6 de julio de 2013). "WinFixer en SpyWareLoop.com" . Bucle de software espía . Consultado el 28 de julio de 2013 .
- ^ [1] Archivado el 18 de noviembre de 2007 en la Wayback Machine.
- ^ "Eliminación manual de WinFixer Virus - Vundo Variant" . 2006.
- ^ http://castlecops.com/t132998-quot_winfixer_quot_virus_quot_winsoftware_quot_crime_rin.html
- ^ "Herramientas DNS - Administrar Monitor Analizar - DNSstuff" . www.dnsstuff.com .
- ^ "Vundo" . Archivado desde el original el 30 de septiembre de 2007 . Consultado el 26 de febrero de 2006 .
- ^ Long, Daniel (2 de octubre de 2009). "Antivirus falso: 5 títulos de software que definitivamente NO debes instalar" . Autoridad de PC y Tecnología . nextmedia . Archivado desde el original el 4 de octubre de 2009 . Consultado el 2 de diciembre de 2014 .
- ^ a b c d Wood, David (13 de octubre de 2009). "Scanti-ly Clad - Otro pícaro despojado por MSRT" . Microsoft TechNet . Archivado desde el original el 6 de enero de 2013 . Consultado el 13 de noviembre de 2014 .
- ^ Abrams, Lawrence (1 de septiembre de 2009). "Quitar Windows Police Pro (Guía de eliminación)" . Ordenador que suena . Archivado desde el original el 3 de septiembre de 2009 . Consultado el 15 de noviembre de 2014 .
- ^ "Deshacerse del malware" . Prensa Coeur d'Alene . Cabezas de hélice. 2009-10-11 . Consultado el 11 de noviembre de 2014 .
- ^ Oiaga, Marius (15 de octubre de 2009). "Windows Antivirus Pro abordado por la herramienta de eliminación de software malintencionado de Microsoft" . Softpedia . Archivado desde el original el 11 de noviembre de 2014 . Consultado el 11 de noviembre de 2014 .
- ^ Jeremy Kirk (8 de marzo de 2007). "Abogado descubre misterio alrededor de 'Winfixer ' " . Computerworld . Consultado el 14 de agosto de 2014 .
- ^ "Víctima de malware intenta en vano castigar su fuente - San Jose Mercury News" . Mercurynews.com . Consultado el 14 de agosto de 2014 .
- ^ "Demanda presentada contra Winfixer (a / k / a ErrorSafe, WinAntiSpyware, WinAntiVirus, SystemDoctor y DriveCleaner)" . La Patrulla de Internet . Consultado el 14 de agosto de 2014 .
- ^ [2] Archivado el 5 de julio de 2008 en la Wayback Machine.
- ^ "Tribunal detiene exploraciones informáticas falsas" . Comisión Federal de Comercio ( Estados Unidos ). 10 de diciembre de 2008 . Consultado el 11 de diciembre de 2008 .
- ^ "Acusados traficantes de Scareware celebrados en desacato al tribunal" . The Register ( Reino Unido ). 24 de diciembre de 2008 . Consultado el 24 de diciembre de 2008 .
- ^ Ionescu, Daniel (3 de octubre de 2012). "Artista de Scareware estafado multado $ 163 millones por FTC" . techhive.com . Consultado el 3 de octubre de 2012 .
- ^ "Opinión de Winfixer" (PDF) . Comisión Federal de Comercio de EE. UU. 24 de septiembre de 2012 . Consultado el 3 de octubre de 2012 .
enlaces externos
- Entrada de McAfee en WinFixer
- Entrada de Symantec en WinFixer e instrucciones de eliminación
- Entrada de Symantec en ErrorSafe, una aplicación de software espía hermana
- Queja de la FTC