¡Que no nos engañe la vista! Su página web era de verdad una página muy atractiva para que las víctimas cayeran. Aquí abajo la interfaz de este programa.
Nava Shield fue detectado poco después debido a que los usuarios que caían en sus payloads tenían coincidencias con otros usuarios con este programa. La página de Nava Shield recibió múltiples denuncias ya que lo que hacía era simular una infección de malware real cuando el periodo de prueba vencía y pasara un determinado tiempo para que el usuario creyera que de verdad un malware se presentaba en el sistema y el mismo comprara el programa falso (ver payloads y más información de Nava Shield en las entradas de abajo de esta entrada de blog)
Nava Shield tiraba esta advertencia cuando la supuesta versión de prueba estaba a punto de expirar.
Nava Shield tiraba esta alerta con un molesto sonido de tic tac advirtiendo al usuario de que su supuesta versión de prueba se había expirado cuando se cumplían los 15 días de prueba.
A partir de ese momento, Nava Shield será completamente inutilizable ya que todas sus funciones serán desactivadas porque la supuesta versión de prueba caducará.
¡Que alguien me diga si es verdad o no! Sus precios parecen que están de locos. Aunque una persona trate de comprarlo, será inútil porque su página web fue desconectada. Tambien este falso antivirus se robó algunos íconos de otros programas porque no pudieron ser originales. Si reconoces alguno, ponlo en los comentarios.
Tiempo después de sus payloads, Nava Shield mostrará una alerta de que un supuesto Malware se está ejecutando en el equipo.
Tiempo después de sus payloads, Nava Shield mostrará una alerta de que un supuesto Malware se está ejecutando en el equipo.
Si presionamos "No", el mensaje se cerrará y no pasa nada, pero si presionamos "Si", el mensaje se cerrará y aparecerá esta otra ventana advirtiendo de un supuesto escaneo para que el usuario se sienta seguro.
Este supuesto escaneo nunca terminará y aparecerá luego una advertencia de que el disco duro está siendo eliminado. Dicha eliminación terminará cuando la pantalla quede totalmente cubierta y luego el escritorio quedará vacío. Actualmente desconozco si reiniciando el equipo los íconos reaparezcan.
El programa creaba lo siguiente en el equipo.
Archivos
%PROGRAMFILES%\NAVA LABS\NAVA SHIELD\NAVAUPDATER.EXE
%PROGRAMFILES%\NAVA LABS\NAVA SHIELD\NAVABRIDGE.EXE
%PROGRAMFILES%\NAVA LABS\NAVA SHIELD\NAVADEBUGGER.EXE
%PROGRAMFILES%\NAVA LABS\NAVA SHIELD\NAVASHIELD.EXE
%PROGRAMFILES%\NAVA LABS\NAVA SHIELD\NAVABRIDGE.EXE
%PROGRAMFILES%\NAVA LABS\NAVA SHIELD\NAVADEBUGGER.EXE
%PROGRAMFILES%\NAVA LABS\NAVA SHIELD\NAVASHIELD.EXE
Carpetas
%PROGRAMFILES%\NAVA LABS
%STARTMENU%\NAVA SHIELD
%STARTMENU%\PROGRAMS\NAVASHIELD
%APPLICATIONDATA%\PROGRAMS\NAVASHIELD
%STARTMENU%\NAVA SHIELD
%STARTMENU%\PROGRAMS\NAVASHIELD
%APPLICATIONDATA%\PROGRAMS\NAVASHIELD
Entradas de Registro
KEY: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN VALUE: NAVABRIDGE
KEY: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN VALUE:NAVADEBUGGER
KEY: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN VALUE: NAVAUPDATER
DATA: C:\PROGRAMFILES\NAVALABS\NAVASHIELD\NAVABRIGDE.EXE
DATA: C:\PROGRAMFILES\NAVALABS\NAVASHIELD\NAVADEBUGGER.EXE
DATA: C:\PROGRAMFILES\NAVALABS\NAVASHIELD\NAVAUPDATER.EXE
KEY: HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN VALUE: NAVAUPDATER
DATA: C:\PROGRAMFILES\NAVALABS\NAVASHIELD\NAVABRIGDE.EXE
DATA: C:\PROGRAMFILES\NAVALABS\NAVASHIELD\NAVADEBUGGER.EXE
DATA: C:\PROGRAMFILES\NAVALABS\NAVASHIELD\NAVAUPDATER.EXE
Las llaves de registro eran para que los procesos: navabridge.exe, navadebugger.exe y navaupdater.exe se iniciaran cada vez que el equipo iniciara sesión, estos 3 procesos al iniciar, daban inicio al proceso navashield.exe que es el programa.
Los datos de registro especifican donde se ubican los procesos mencionados anteriormente.
Este fue un resumen de lo que es Nava Shield. Ahora ¿Es considerado Malware, Rogueware, o ambos? Era considerado solo Rogueware porque fue declarado falso antivirus poco después de su lanzamiento. Por sus payloads, llegó a considerarse Malware porque debido a profundas investigaciones en la internet, este programa es el único que presenta payloads dañinos, razón de la cuál los creadores de Nava Shield se vieron obligados a desconectar su página web por los daños causados a millones de equipos alrededor del mundo.
No hay comentarios.:
Publicar un comentario