La semana pasada, varios vendedores de antivirus, comenzaron a recibir reportes de un incremento de usuarios infectados por algo llamado "MonaRonaDona virus", una pieza de malware que amenaza con el mal funcionamiento de las computadoras en protesta por la violación de los derechos humanos.



Pero en este caso, solo se trata de un trozo de código relativamente inocuo, creado con la intención de asustar a la gente para que compre un nuevo (y falso), antivirus. Una variante un poco más sofisticado del clásico chantaje con virus como Fenc.A, Cryzip.A, Gpcode.B y otros, que ofrecen instrucciones para reparar los archivos modificados, a cambio de transferir cierta cantidad de dinero a alguna cuenta bancaria.

El mecanismo de infección, parece haber sido la descarga de un falsa herramienta de optimización llamada "RegistryCleaner2008". Al ejecutarse la misma, un archivo de nombre "srvspool.exe" es instalado en la carpeta de inicio de Windows, de tal modo que el virus se vuelve a ejecutar en cada reinicio. Nada sofisticado por cierto.

Lo que pronto queda muy claro, es que el principal objetivo del virus, es llamar la atención sobre si mismo, contrastando con la tendencia de la mayoría del malware moderno, que utiliza a los equipos de los usuarios infectados para obtener ganancias millonarias de múltiples formas, siendo la base de su éxito pasar lo más desapercibidos posible en los equipos infectados.

En este caso, el MonaRonaDona se hace muy visible, porque su objetivo es obtener ganancias con la venta de un supuesto antivirus capaz de eliminarlo. El truco montado, es llevar a los usuarios a buscar en buscadores como Google, información sobre el virus y de como eliminarlo.

Al principio, poca información sobre el MonaRonaDona podía ser encontrada, pero curiosamente una de las entradas llevaba a la página de un muy reciente producto antivirus (unigray.com, actualmente no accesible). En dicha página, una noticia sobre "nuevas amenazas de spyware", mostraba en el primer lugar al MonaRonaDona.



En otras entradas en Google, un blog de alguien que firma como "ParadiseForever" afirma que "el virus de computadora Monaronadona está causando estragos infectando a ordenadores en todo el mundo", y que "la única solución sería instalar un buen paquete de software antivirus." Aunque menciona a productos muy conocidos, el post afirma "que pueden no funcionar con este virus, y que en cambio [el hasta ahora desconocido] Unigray Antivirus es el único capaz de quitarlo". Por supuesto, hay un enlace a la descarga de este falso antivirus.



Pero ese no es el único resultado de la búsqueda. Pronto aparecen otros con alabanzas al Unigray Antivirus, incluido un vídeo de YouTube.

El objetivo final, es que el usuario que desee quitar el virus de su computadora infectada, deberá pagar casi 40 dólares por el Unigray "el único producto capaz de eliminarlo".

No hay que investigar mucho para que resulte claramente sospechoso el hecho que el tal Unigray Antivirus, hace solo un par de semanas no era conocido por nadie, ni existía su sitio web. Y que lo único que "limpia" es al tal MonaRonaDona.

Sobre este tema, el vendedor de seguridad PrevX, ha publicado una fascinante investigación, que revela la historia completa del MonaRonaDona, realizada a partir de las pistas que el mismo código no se preocupa en ocultar, como por ejemplo, un enlace a una compañía de software.

El investigador, incluso llega a comunicarse telefónicamente con el dueño de dicha compañía, una persona residente en Pakistán, la cuál, luego de una curiosa charla, confiesa que llevó a cabo el proyecto a partir de un mensaje recibido a través de Elance.com, un sitio donde programadores "free-lance" pueden ofrecer u obtener trabajos.

El programador también mencionó que se contrató a escritores, a razón de 10 dólares el artículo, para escribir comentarios falsos sobre el MonaRonaDona y Unigray, "y también sobre el RegistryCleaner2008."

Aunque ya nada debería sorprendernos, no deja de ser asombroso hasta que grado de sofisticación se puede llegar para crear este tipo de estafas.

El MonaRonaDona no causa ningún daño grave al sistema, pero interfiere con su correcto funcionamiento, además de provocar molestias al usuario, influyendo negativamente en la productividad del equipo. El malware no deja que se ejecuten ciertos programas (como el Administrador de tareas de Windows), modifica el título de la ventana del Internet Explorer para incluir su nombre, y muestra una ventana de advertencia.

ESET NOD32 detecta esta amenaza y sus posibles variantes como Win32/Adware.UniGrayAntivirus.


Más información:

MonaRonaDona - We might be in the AV industry, but at least we aren't STUPID!
MonaRonaDona - We might be in the AV industry, but at least we aren't STUPID!

MonaRonaDona Mystery Solved
ThreatFire Research Blog: MonaRonaDona Mystery Solved

MonaRonaDona "virus"?
MonaRonaDona "virus"? - dslreports.com


Relacionados:

Cryzip.A. Pide rescate para recuperar archivos
Cryzip.A. Pide rescate para recuperar archivos

Troj/Gpcode.B. Inutiliza múltiples archivos
Troj/Gpcode.B. Inutiliza múltiples archivos

Un virus secuestra documentos a cambio de rescate
Un virus secuestra documentos a cambio de rescate

Nueva formas de hacer dinero ilegal: RansomWare
ESET NOD32 Antivirus Software - Elimine Spyware, Adware, Rootkits, Virus y Malware con ESET NOD32 Antivirus








(c) Video Soft - Video Soft
(c) VSAntivirus - VSAntivirus