¿Qué es Nava Shield? ¿Es considerado Malware, Rogueware, o ambos?

Nava Shield es un falso antivirus que se creía en sus tiempos mejor que algunos antivirus que sí eran reconocidos por las personas. Algunos como el Eset, Avast, Avira… eran considerados con programación inferior a comparación de Nava Shield. Así lucía su página web (desconectada desde a mediados del 2011)

¡Que no nos engañe la vista! Su página web era de verdad una página muy atractiva para que las víctimas cayeran. Aquí abajo la interfaz de este programa.

Nava Shield fue detectado poco después debido a que los usuarios que caían en sus payloads tenían coincidencias con otros usuarios con este programa. La página de Nava Shield recibió múltiples denuncias ya que lo que hacía era simular una infección de malware real cuando el periodo de prueba vencía y pasara un determinado tiempo para que el usuario creyera que de verdad un malware se presentaba en el sistema y el mismo comprara el programa falso (ver payloads y más información de Nava Shield en las entradas de abajo de esta entrada de blog)

Nava Shield tiraba esta advertencia cuando la supuesta versión de prueba estaba a punto de expirar.

Nava Shield tiraba esta alerta con un molesto sonido de tic tac advirtiendo al usuario de que su supuesta versión de prueba se había expirado cuando se cumplían los 15 días de prueba.

A partir de ese momento, Nava Shield será completamente inutilizable ya que todas sus funciones serán desactivadas porque la supuesta versión de prueba caducará.

¡Que alguien me diga si es verdad o no! Sus precios parecen que están de locos. Aunque una persona trate de comprarlo, será inútil porque su página web fue desconectada. Tambien este falso antivirus se robó algunos íconos de otros programas porque no pudieron ser originales. Si reconoces alguno, ponlo en los comentarios.

Tiempo después de sus payloads, Nava Shield mostrará una alerta de que un supuesto Malware se está ejecutando en el equipo.

Si presionamos "No", el mensaje se cerrará y no pasa nada, pero si presionamos "Si", el mensaje se cerrará y aparecerá esta otra ventana advirtiendo de un supuesto escaneo para que el usuario se sienta seguro.

Este supuesto escaneo nunca terminará y aparecerá luego una advertencia de que el disco duro está siendo eliminado. Dicha eliminación terminará cuando la pantalla quede totalmente cubierta y luego el escritorio quedará vacío. Actualmente desconozco si reiniciando el equipo los íconos reaparezcan.

El programa creaba lo siguiente en el equipo.

Archivos

%PROGRAMFILES%\NAVA LABS\NAVA SHIELD\NAVAUPDATER.EXE
%PROGRAMFILES%\NAVA LABS\NAVA SHIELD\NAVABRIDGE.EXE
%PROGRAMFILES%\NAVA LABS\NAVA SHIELD\NAVADEBUGGER.EXE
%PROGRAMFILES%\NAVA LABS\NAVA SHIELD\NAVASHIELD.EXE

Carpetas

%PROGRAMFILES%\NAVA LABS
%STARTMENU%\NAVA SHIELD
%STARTMENU%\PROGRAMS\NAVASHIELD
%APPLICATIONDATA%\PROGRAMS\NAVASHIELD

Entradas de Registro

KEY: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN VALUE: NAVABRIDGE

KEY: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN VALUE:NAVADEBUGGER
KEY: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN VALUE: NAVAUPDATER
DATA: C:\PROGRAMFILES\NAVALABS\NAVASHIELD\NAVABRIGDE.EXE
DATA: C:\PROGRAMFILES\NAVALABS\NAVASHIELD\NAVADEBUGGER.EXE
DATA: C:\PROGRAMFILES\NAVALABS\NAVASHIELD\NAVAUPDATER.EXE

Las llaves de registro eran para que los procesos: navabridge.exe, navadebugger.exe y navaupdater.exe se iniciaran cada vez que el equipo iniciara sesión, estos 3 procesos al iniciar, daban inicio al proceso navashield.exe que es el programa.

Los datos de registro especifican donde se ubican los procesos mencionados anteriormente.

Este fue un resumen de lo que es Nava Shield. Ahora ¿Es considerado Malware, Rogueware, o ambos? Era considerado solo Rogueware porque fue declarado falso antivirus poco después de su lanzamiento. Por sus payloads, llegó a considerarse Malware porque debido a profundas investigaciones en la internet, este programa es el único que presenta payloads dañinos, razón de la cuál los creadores de Nava Shield se vieron obligados a desconectar su página web por los daños causados a millones de equipos alrededor del mundo.

Datos y payloads de Nava Shield

Nava Shield

Nombre real:                                                                                                                    navashield.exe

Métodos de propagación:                      Manualmente, instaladores de terceros, sitios web maliciosos

Sistemas operativos donde infecta:                                                                                              Todos

Nivel de peligro:                                                                                                Bajo, pero muy molesto

Nivel de distribución:                                                                                     Medio (actualmente bajo)

Creado por:                                                                                                                             Nava Labs

A continuación, verás datos por las cuales Nava Shield fue declarado un Rogueware peligroso.

• En su página web (actualmente desconectada) se presentaban falsos certificados de las tarjetas que supuestamente eran reconocidas por la página, un certificado falso de McAfee Antivirus y un falso certificado de que la página era segura.

Cuando este programa fue detectado, estos falsos certificados eran claras evidencia para recibir sus merecidas denuncias por parte de los de McAfee, por los de las tarjetas y por los usuarios.

•  A pesar de tener muy mala reputación por las personas, por los bloqueadores de páginas y por el constante bloqueo de la página por parte de los antivirus como por ejemplo eset.

Este sitio web sur.ly marcó a Nava Shield como una página de adultos, lo cuál el contenido de uno de sus payloads que puedes ver más abajo lo demuestra.

• Si fuera un verdadero antivirus, en el instalador debería aparecer varios idiomas incluyendo el que hablamos, en este falso antivirus solo se presenta el inglés.

Lo siento por la mala imagen, pero al menos se nota la evidencia de que solo el inglés está disponible.

• En los acuerdos de licencia, se presentan muchos errores gramaticales y de ortografía o incluso partes en las que las traduces a español, no tienen sentido, lo cuál lo hace más sospechoso de que este programa sea falso. También en la casilla que dice "Acepto los términos y condiciones", está activada por defecto, ningún verdadero antivirus puede hacer eso por razones legales.

• Mientras el programa se instala, menciona 2 cuestiones que no tienen sentido alguno.

En el primer punto dice: Sólo el 3% de los problemas de seguridad son causados por virus tradicionales. Respuesta a esto: ABSURDO.

• Cuando el programa está a punto de expirar, muestra un aviso recordándole al usuario que la prueba va a expirar. Ese no es el problema, el problema es que el número de las personas que supuestamente están protegidas por este falso antivirus está congelado, o sea ese número ni sube ni baja. Inmediatamente que usted instale el programa, te saldrá este aviso y con el mismo número. Seguido de eso vienen los payloads.

• El programa no se podía desinstalar desde el panel de control ya que no aparecía, había que meterse a la carpeta raíz del programa para acceder a su desinstalador, pero igualmente el programa no se desinstalaba por completo, sólo eliminaba los archivos basura y los que no eran tan importantes y desinstalaba su propio desinstalador. Eliminarlo manualmente era casi imposible, sólo un programa de terceros que lo detecte como el Malwarebytes puede erradicarlo.

•  El instalador de Nava Shield que está circulando actualmente pesaba 35 MB o menos que el instalador original de Nava Shield. Exactamente es así.

El instalador de ahora de Nava Shield pesa: 9,67 MB

El instalador original pesa: 53,1 MB

Por los siguientes payloads, Nava Shield también fue declarado Malware. Estos solo se presentan si el usuario no compra el programa y deja instalado Nava Shield por varios meses.

1. Genera unas risas de unos hombres riendo una y otra vez que aumentan de intensidad con el paso del tiempo: https://www.youtube.com/watch?v=SyK58H0KDQM (aquí pueden escuchar sus risas)
2. Te redirige a sitios para adultos (la mayoría están desconectados)
3. Abre aplicaciones a lo loco
4. Se expande la barra de tareas e insulta al usuario diciendo "Fuck You" varias veces o dice cosas sin sentido de los sonidos de alrededor o de grabaciones de audios que tenga el usuario en el ordenador. Si dices por ejemplo: Mi computadora se jodió, al rato lo dirá al revés. 
5. Minutos después, comienza a borrar el disco duro. Esto se cancela reiniciando el equipo.
6. Te abre el correo de tu sistema operativo y te escribe una dirección supuestamente para adultos.
7. Bloquea el administrador de tareas, el REGEDIT, el símbolo del sistema... para evitar que el usuario cancele la infección.

¿Que ha pasado con Nava Shield en estos últimos años? ¿Cómo me puedo infectar?

Debido a la constante actualización de los sistemas operativos y de los antivirus, este programa se ha erradicado un 70%. Nava Shield se puede descargar en sitios donde lo ofrezca o en videos de YouTube donde les tire el link de descarga. Existen sistemas operativos de Windows por ejemplo los Windows noventeros (los que se crearon en 1999 para atrás), los Windows que se crearon después del 2000 (Windows Server 2000, ME, XP... hasta el Vista) están sin soporte y próximamente el Windows 7 (1/1/2020) finalizará su soporte.

Estos sistemas tienen una probabilidad del 80% que se les infecte de Nava Shield si no tienen un buen antivirus. Pero ¿Quién va a usar sistemas obsoletos en 2019 o en un futuro? En el caso del XP que muchos se niegan a actualizar a un sistema más reciente, puede que se les infecte de Nava Shield si no poseen un buen antivirus. Malwarebytes puede protegerte de Nava Shield pero ya no es compatible con Windows obsoletos (por ahora el 7 y el 10 si es compatible pero desconozco del Vista)

Si desean probar Nava Shield en sus computadoras, solo usen una máquina virtual, ya que si me insultan diciendo que su computadora se jodió por culpa mía, eso no será mi problema, ya que estoy enseñándoles con este blog lo que hace o hizo Nava Shield en su tiempo, este programa puede ser dañino aunque sea de bajo peligro.

Nava Shield como se ha controlado mucho en estos años, sus casos de infección han disminuido. Puedes infectarte de este virus por:

Tener sistemas obsoletos sin protección y visitando páginas de dudosa procedencia.

Que te lo envíen y caigas en la trampa si eres muy inexperto.

Pop-ups de páginas inseguras.

Que un hacker sea tan pendejo para hackearte tu pc e instalarte este virus.

Actualmente, he descubierto que sus servidores están inactivos, por lo cuál dar una llave de producto ya sea válida o no, su intento por activar el programa es inútil.

Utilizar las tres opciones al instalar el programa original (casi imposible de encontrar) será inútil ya que la primera lo que hará es crear una clave de producto de prueba, pero al estar desconectada su página web, la cuál es necesaria para realizar esta acción, te tirará este error como si no tuvieras internet.

Lo mismo con la segunda opción, ya que si ingresas cualquier cosa (llave de producto real o falsa, letras al azar, palabras...) te tirará el mismo error.

La tercera opción te mandará a la página de Nava Shield pero no cargará porque está desconectada desde el 2011. Si tuvieras un antivirus cualquiera, comúnmente te bloqueará el acceso.

En pocas palabras, Nava Shield ya es un virus muerto pero igualmente puede funcionar, si desea probarse, debe usarse máquina virtual para evitar desgracias.