El virus que te protege de otros virus: Un malware anti-pirater��a disfrazado de videojuego

Una compa?��a de ciberseguridad descubre un malware que te impide acceder a p��ginas web, pero de descarga ilegal.

Actualizado a 18 de junio de 2021 23:27 CEST

?Qu�� es una vacuna? Se trata de ��una preparaci��n destinada a generar inmunidad adquirida contra una enfermedad, mediante la estimulaci��n de la producci��n de anticuerpos��. Y su gracia es que contiene un agente que se asemeja a un microorganismo causante de la enfermedad y a menudo se hace a partir de formas debilitadas o muertas del microbio, sus toxinas o una de sus prote��nas de superficie.

O sea: Te inyectan m��s o menos el mismo virus contra el que te quieren vacunar, forzando a tu cuerpo a que prepare medidas y anti-cuerpos. Imagina adaptar ese proceso a Internet, ?un virus que nos infectar��a para protegernos de otros virus? Pues existe ya.

El virus creado para protegerte de otros virus

??La compa?��a de seguridad Sophos ha anunciado en un art��culo el descubrimiento de este c��digo maligno, e indic�� que se desconoce la procedencia y motivaci��n del 'malware', que, al contrario que la mayor��a, no busca el robo de datos personales ni informaci��n privada.

En lugar de intentar robar contrase?as o extorsionar al propietario del ordenador para pedir un rescate, este malware bloquea los ordenadores de los usuarios infectados para que no puedan visitar un gran n��mero de sitios web dedicados a la pirater��a de software, modificando el archivo HOSTS del sistema infectado.

La modificaci��n del archivo HOSTS es un m��todo "burdo pero eficaz para impedir que un ordenador pueda acceder a una direcci��n web. Es burdo porque, aunque funciona, el malware no tiene ning��n mecanismo de persistencia. Cualquiera puede eliminar las entradas despu��s de haberlas a?adido al archivo HOSTS, y permanecen eliminadas (a menos que se ejecute el programa una segunda vez)".

Seg��n el analista de Sopos, ��No pudimos discernir la procedencia de este malware, pero su motivaci��n parece bastante clara��: Impide que la gente visite sitios web de pirater��a de software (aunque s��lo sea temporalmente), y env��a el nombre del software pirata que el usuario esperaba utilizar a un sitio web, que tambi��n entrega una carga ��til secundaria. El archivo a?ade desde unos cientos hasta m��s de 1000 dominios web al archivo HOSTS, apuntando a la direcci��n localhost, 127.0.0.1.

Juegos falsos en Discord

Al menos una parte del malware, disfrazado de copias piratas de una gran variedad de paquetes de software, se alojaba en el servicio de chat de juegos Discord. Otras copias, distribuidas a trav��s de Bittorrent, tambi��n llevaban nombres de juegos populares, herramientas de productividad e incluso productos de seguridad, acompa?ados de archivos adicionales que hac��an pensar que se hab��an originado en una conocida cuenta de intercambio de archivos en ThePirateBay.

Parece que hay cientos de marcas de software diferentes representadas por los nombres de archivos encontrados en una b��squeda en Virustotal de muestras relacionadas. Archivos como "Left 4 Dead 2 (v2.2.0.1 Last Stand + DLCs + MULTi19)" y "Minecraft 1.5.2 Cracked [Full Installer][Online][Server List]" imitan las convenciones de nomenclatura utilizadas habitualmente para etiquetar el software pirata.

Los archivos que aparecen alojados en el sistema de intercambio de archivos de Discord suelen ser archivos ejecutables solitarios. Los que se distribuyen a trav��s de Bittorrent "se han empaquetado de una forma que se asemeja m��s a la forma en que se suele compartir el software pirata mediante ese protocolo": A?adido a un archivo comprimido que tambi��n contiene un archivo de texto y otros archivos auxiliares, as�� como un viejo archivo de acceso directo a Internet que apunta a ThePirateBay

Qu�� hace el malware

La experiencia del usuario final al ejecutar el malware es breve. Al hacer doble clic, aparece un falso mensaje de error que dice: "El programa no puede iniciarse porque falta MSVCR100.dll en su ordenador. Intente reinstalar el programa para solucionar este problema".

Sophos explica que al ejecutarse, el 'malware' hace comprobaciones sobre la conexi��n de red para ver si puede establecerse en ella y, en tal caso, contacta el Identificador de recursos uniforme (URI, por sus siglas en ingl��s), el nombre ��nico de cada archivo, de un dominio espec��fico que es un URL fake de 1fichier.com.

??Las modificaciones que realiza en el archivo HOSTS proh��ben que el usuario acceda al dominio real. De esta forma, lo que hace es a?adir una lista de m��s de 1.000 dominios web y los lleva a una direcci��n de servidor local, aunque algunas de ellas no tienen que ver con la pirater��a.

Detecci��n y limpieza

?Qu�� puedes hacer si tienes este extra?o malware -o deber��amos llamarlo 'goodware'? Los usuarios que hayan ejecutado inadvertidamente uno de estos archivos pueden limpiar su archivo HOSTS manualmente.?Para ello, Sophos indica que hay que ejecutar como administrador una copia del Bloc de Notas y modificando el archivo en:

c:\Windows\System32\Drivers\etc\hosts

Ahora debes eliminar todas las l��neas que comienzan con "127.0.0.1" y hacen referencia a los diversos sitios de ThePirateBay (y otros). Con esto eliminar��s el malware.