Windows Defender Essentials, la última arma del scammer

Los scammers o estafadores tienen un repertorio bastante nutrido de tácticas para intentar sacarnos los cuartos, aunque en este caso han sido originales (no siempre lo son) y han pensado que provocar un BSOD o pantallazo azul de la muerte en conjunción con un «Chequeador para Windows» les iba a funcionar bien. Y parece que así ha sido.

Descubre más sobre los BSOD en Windows y como resolverlos

Como decimos, el esquema de estafa es el siguiente: mediante una redirección web se descarga un archivo en nuestro equipo (de hecho, varios archivos que ahora detallaremos) y provocan lo que parece ser un pantallazo azul de error o BSOD.

Después, se nos sugiere la instalación de una utilidad para solucionar el problema (todo muy oportuno oiga) con el nombre de «Troubleshooter for Windows» que intentará a partir de ahí que paguemos una suma de 25 € por un software que no necesitamos realmente, pero ellos intentarán que creamos que así es.

El producto en cuestión no es otro que Windows Defender Essentials (dato curioso, este nombre sale de unir Windows Defender con otro producto de seguridad de Microsoft, «Security Essentials»).

Así ocurre la infección con el antivirus falso

Según un informe de Malwarebytes elaborado por Pieter Arntz, la aplicación Troubleshooter es distribuída mediante un instalador de software «crackeado». Es decir, mediante software pirata como el que podemos obtener mediante torrents y otro tipo de descargas ilícitas.

La aplicación de «diagnóstico» muestra un mensaje falso que dice que «Windows ha encontrado un error inesperado» (nada nuevo para el usuario de Windows) y que falta una librería .dll que ha provocado el fallo. Se nos urge a pulsar el botón para diagnosticar y corregir el problema.

Si seguimos adelante con la instalación la cosa se pone peor: el citado programa nos dirá que no es capaz de arreglar el fallo y nos recomendará comprar Windows Defender Essentials para solucionarlo. Iremos a una página de compra donde abonar los 25 € solicitados. A una cuenta de PayPal, por cierto.

Detalles técnicos del falso Windows Defender Essentials

Tal y como detalla Bleeping Computer, la información falsa es presentada por una serie de archivos ejecutables que son descargados por el propio instalador crackeado tras la ejecución:

• BSOD.exe: provoca el falso aviso de pantallazo azul
• Troubleshoot.exe: la falsa aplicación de diagnóstico
• Scshtrv.exe: una aplicación que enviará al servidor del atacante una captura del escritorio actual del usuario
• adwizz.exe: el último malware se encarga de mostrar anuncios no deseados, posiblemente para hacer parecer que el equipo está infectado.

El hecho de que se capture la pantalla del usuario y en ningún momento se utilice el manido truco de hacernos llamar al soporte telefónico nos demuestra que algo están aprendiendo los estafadores. Además, el falso soporte telefónico también está evolucionando. Microsoft avisó la pasada semana de un nuevo método de estafa utilizaba la función «clic-to-call» o llamar con un clic para animar a los usuarios a llamar al falso soporte sin esfuerzo.

Remediación

Por supuesto, el bloqueo del equipo desaparecerá tras pagar por algo que no necesitamos, pero también se ha descubierto que es posible engañar al programa cuando este nos bloquea. Una vez llegamos a la pantalla de pago de Paypal, bastará con pulsar CTRL + O para abrir un cuadro de diálogo e introducir la siguiente dirección:

http://hitechnovation.com/thankyou.txt

De esta forma el malware se pensará que ya hemos pagado y viene a demostrar que el malware ha sido desarrollado por alguien con prisa o sin mucho conocimiento.

Además, si queremos desinfectar el equipo solo tendremos que seguir estas instrucciones elaboradas por Malwarebytes. Implica realizar algunas labores de desinfección típicas, como reiniciar Windows en modo seguro, desactivar algún servicio y borrar determinados archivos.

Conclusiones

Este scam compuesto por dúo del Troubleshooter + falso antivirus se basa en la táctica tradicional del scareware: conseguir que el usuario compre algo por miedo a las consecuencias. No le des el gusto. Además, te dejo un recurso útil para aprender a detectar el phishing.