sábado, 12 de octubre de 2019

Datos y payloads de Nava Shield

Nava Shield


Nombre real:                                                                                                                    navashield.exe
Métodos de propagación:                      Manualmente, instaladores de terceros, sitios web maliciosos
Sistemas operativos donde infecta:                                                                                              Todos
Nivel de peligro:                                                                                                Bajo, pero muy molesto
Nivel de distribución:                                                                                     Medio (actualmente bajo)
Creado por:                                                                                                                             Nava Labs

A continuación, verás datos por las cuales Nava Shield fue declarado un Rogueware peligroso.
  • En su página web (actualmente desconectada) se presentaban falsos certificados de las tarjetas que supuestamente eran reconocidas por la página, un certificado falso de McAfee Antivirus y un falso certificado de que la página era segura.


Cuando este programa fue detectado, estos falsos certificados eran claras evidencia para recibir sus merecidas denuncias por parte de los de McAfee, por los de las tarjetas y por los usuarios.

  •  A pesar de tener muy mala reputación por las personas, por los bloqueadores de páginas y por el constante bloqueo de la página por parte de los antivirus como por ejemplo eset.

Este sitio web sur.ly marcó a Nava Shield como una página de adultos, lo cuál el contenido de uno de sus payloads que puedes ver más abajo lo demuestra.

  • Si fuera un verdadero antivirus, en el instalador debería aparecer varios idiomas incluyendo el que hablamos, en este falso antivirus solo se presenta el inglés.


Lo siento por la mala imagen, pero al menos se nota la evidencia de que solo el inglés está disponible.

  • En los acuerdos de licencia, se presentan muchos errores gramaticales y de ortografía o incluso partes en las que las traduces a español, no tienen sentido, lo cuál lo hace más sospechoso de que este programa sea falso. También en la casilla que dice "Acepto los términos y condiciones", está activada por defecto, ningún verdadero antivirus puede hacer eso por razones legales.

  • Mientras el programa se instala, menciona 2 cuestiones que no tienen sentido alguno.

En el primer punto dice: Sólo el 3% de los problemas de seguridad son causados por virus tradicionales. Respuesta a esto: ABSURDO.

  • Cuando el programa está a punto de expirar, muestra un aviso recordándole al usuario que la prueba va a expirar. Ese no es el problema, el problema es que el número de las personas que supuestamente están protegidas por este falso antivirus está congelado, o sea ese número ni sube ni baja. Inmediatamente que usted instale el programa, te saldrá este aviso y con el mismo número. Seguido de eso vienen los payloads.

  • El programa no se podía desinstalar desde el panel de control ya que no aparecía, había que meterse a la carpeta raíz del programa para acceder a su desinstalador, pero igualmente el programa no se desinstalaba por completo, sólo eliminaba los archivos basura y los que no eran tan importantes y desinstalaba su propio desinstalador. Eliminarlo manualmente era casi imposible, sólo un programa de terceros que lo detecte como el Malwarebytes puede erradicarlo.
  •  El instalador de Nava Shield que está circulando actualmente pesaba 35 MB o menos que el instalador original de Nava Shield. Exactamente es así.
El instalador de ahora de Nava Shield pesa: 9,67 MB
El instalador original pesa: 53,1 MB


Por los siguientes payloads, Nava Shield también fue declarado Malware. Estos solo se presentan si el usuario no compra el programa y deja instalado Nava Shield por varios meses.

  1. Genera unas risas de unos hombres riendo una y otra vez que aumentan de intensidad con el paso del tiempo: https://www.youtube.com/watch?v=SyK58H0KDQM (aquí pueden escuchar sus risas)
  2. Te redirige a sitios para adultos (la mayoría están desconectados)
  3. Abre aplicaciones a lo loco
  4. Se expande la barra de tareas e insulta al usuario diciendo "Fuck You" varias veces o dice cosas sin sentido de los sonidos de alrededor o de grabaciones de audios que tenga el usuario en el ordenador. Si dices por ejemplo: Mi computadora se jodió, al rato lo dirá al revés. 
  5. Minutos después, comienza a borrar el disco duro. Esto se cancela reiniciando el equipo.
  6. Te abre el correo de tu sistema operativo y te escribe una dirección supuestamente para adultos.
  7. Bloquea el administrador de tareas, el REGEDIT, el símbolo del sistema... para evitar que el usuario cancele la infección.


Publicadas por a la/s

2 comentarios:

  1. Hugo Napoli27 de noviembre de 2019, 12:41 p.m.

    Éxitos, colega.
    Buena información. Esperamos que el blog siga engrosándose :)
    ¡Saludos desde Uruguay!

    ResponderBorrar
    Respuestas
    1. Andrew Vaughan Escalante28 de noviembre de 2019, 9:43 a.m.

      Podrías recomendar este blog. Un abrazo por acatar el comentario en tu blog

      Borrar

Suscribirse a: Comentarios de la entrada (Atom)