Stop-Malware

Detectando intrusos en una red con Snort

noreply@blogger.com (Albert López) — Mon, 08 Mar 2010 22:46:00 +0000

No suelo escribir sobre temas relacionados con redes pero hoy haré una excepción ya que he visto un sistema (ya había oído hablar mucho de el) de detección de intrusos muy interesante y completo, por eso me gustaría dedicarle una entrada en mi blog a Snort.

Snort es un sistema para detección de amenazas para un sistema o red, es decir monitoriza distinto tráfico que puede haber desde intrusos,diferentes tipos de ataques...muy útil para auditar un sistema o mantener un control de éste. La idea no es la de proteger frente a posibles ataques sino dar información sobre estos.

Dentro las características más notables de Snort cabe destacar las siguiente:

Tiene la función de sniffer para controlar el tráfico de un sistema,red o host.
Detecta intrusiones.
Da información sobre puertos con el fin de evitar agujeros de seguridad o anomalías en ellos.
Tiene un sistema de firmas de ataques actualizable que funciona a partir de patrones de ataques reales.
Dispositivo de almacenaje mediante logs sobre anomalías detectadas.
Previene de ataques ddos, backdoors y otros sistemas intrusivos, incluso de escáneres como el conocido Nmap.
Puede trabajar en distintos sistemas operativos como windows, Unix y Linux.
Uso de filtros personalizables mediante la libreria libpcap, la misma utilizada por TCPDump.

Por otra parte, el sistema de alertas es muy completo ya que podemos elegir de que forma queremos que se nos notifique, por ejemplo que se nos envié la alerta a otra aplicación, o que el mismo Snort nos lo indique por pantalla o por ejemplo que envie la alerta a otra estación de trabajo mediante un popup.

Para más información pueden visitar la página del proyecto, es open source y cuenta con una gran comunidad de usuarios para soporte,novedades y desarrollo.

http://www.snort.org/

Buscando Honeypots en la red

noreply@blogger.com (Albert López) — Mon, 08 Mar 2010 00:03:00 +0000

Para quien todavía no sepa lo que es un honypot, es un sistema web preparado para atraer a atacantes con el fin de recopilar información sobre el atacante, sobre las tendencias de ataque o simplemente para hacerle perder el tiempo.

El buscador de google es una buena herramienta para buscar honeypots, solamente hace falta un poco de gracia e intentar hacer una buena búsqueda con palabras que puedan contener un archivo interesante para un atacante, el mas sencillo seria por ejemplo pass.txt. Los honeypots pueden tener distintos grados de complejidad, inclúso pueden simular servidores reales con el fin de recojer detalladamente como se lleva a cabo un ataque.

Con mi búsqueda, simplemente a lo pronto he encontrado un honeypot muy sencillo, simplemente muestra al usuario un sistema raíz lleno de archivos con nombres sugerentes pero con ninguna finalidad más alla de avisar que es un honeypot. Pueden hecharle una ojeada en el siguiente enlace:

http://gray-world.net/etc/passwd/#wtf

Los atacantes generalmente aprovechan la potencia que brinda google para encontrar archivos comprometidos en servidores, no es difícil por descuido encontrar algúna base de contraseñas que alguien descuidado ha dejado en el servidor, inclúso datos confidenciales de personas.

Para hacer éste tipo de búsqueda generalmente se usa el comando inurl="busqueda" para buscar palabras directamente en el nombre de las páginas, por ejemplo podríamos buscar:

inurl = "/etc/passwd"

Con esa búsqueda acabaríamos encontrando por ejemplo el honeypot que he indicado antes, aunque también podríamos encontrar algún sistema real con usuarios, contraseñas... Con éste sencillo y curioso artículo espero que les despierte curiosidad el concepto de honeypot y es divertído localizarlos por la red.

Killtrojan Usb Firewall

noreply@blogger.com (Albert López) — Thu, 04 Mar 2010 00:10:00 +0000

Descripción

Killtrojan Usb Firewall es una herramienta pensada para proteger cualquier ordenador de virus o gusanos que se propagan mediante dispositivos de discos extraíbles. La herramienta trabaja en modo de firewall, es decir, detecta cualquier tipo de malware que intenta infectar un ordenador desde un dispositivo extraíble usb y viceversa dando la opción al usuario de eliminar el fichero detectado o omitir el proceso permitiendo la propagación del archivo. Siempre la decisión final es del usuario ya que hay ciertas aplicaciones que crean archivos de autoarranque en unidades de disco extraíbles pero no suponen ningún peligro ni tienen acciones propias de malware. Además la aplicación es totalmente transparente a los ojos del usuario ya que la única interfaz gráfica es en los avisos. En la barra de herramientas junto al reloj, verán que cuando la herramienta está activada aparecerá el icono del programa. El kuf se auto ejecutara con el arranque del sistema, así tendrán protección permanente sin tener que preocuparse de ejecutarlo.

Una vez hecho el pago por paypal, de forma automática, se le facilitará un enlace donde descargar el producto. El enlace tiene una validez de 24 horas, de ésta forma se evitará demóras o problemas en el envío del producto.

"Proteja su ordenador por solo 16.50$/12€"

Detalles Técnicos

Nombre: kuf.exe
Nombre proceso: kuf.exe
Ruta: C:\killtrojan\kuf.exe
Tamaño: 152 kb
Propietario: Albert López
Versión del producto: 1.20
Clave de autoarranque: HKLM...Run/killtrojan "C:\killtrojan\kuf.exe"
Lenguaje de programación/Compilador: Visual basic 6

"Olvídese de los molestos virus que se propagan mediante medios extraíbles"

Requisítos Mínimos

Pentium 2 o superior a 300Mhz.
32Mb de ram. - Disco duro de 8 gigas.
Puertos USB 1.0 o 2.0
Windows 2000/XP/Vista/Win7

*Compatible con cualquier software antivírus o firewall.
** La compra se realiza mediante paypal de forma segura.

Otro antivirus en la nube: Trend Micro Housecall

noreply@blogger.com (Albert López) — Wed, 03 Mar 2010 23:01:00 +0000

Otra empresa se ha animado para apostar software basado en la nube, en este caso se trata de Trend micro con su nuevo antivirus de nuevas tecnologías Housecall muy lijero y preparado para proteger equípos utilizando pocos recursos y con una simple conexión a internet. Protege cualquier ordenador de virus, gusanos,troyanos, espías y utiliza la tecnología Smart protection Network para detectar las amenazas más recientes.

Housecall presenta un gran abanico de novedades en cada versión que aparece y es que no lo tiene nada fácil con sus principales competidores como Panda Cloud o Inmunet Protection. En la última versión descargable pueden beneficiarse de las siguientes características.

Opciones de exploración completa del sistema y personalizada que permiten a los usuarios especificar las carpetas que desean explorar (nueva en la versión 7.1).
Opción de exploración rápida que permite realizar una búsqueda dirigida de áreas cruciales del sistema y de amenazas activas, lo cual reduce los tiempos de exploración a escasos minutos.
Implementación autónoma independiente del navegador que elimina los problemas de compatibilidad asociados a los exploradores activados por navegador.
Tecnología de exploración inteligente que consulta los patrones por Internet, ofreciendo la protección más actualizada a la par que reduce los tiempos de descarga.
Función de comentarios inteligentes para compartir información sobre las amenazas con Smart Protection Network, una infraestructura que correlaciona los datos de una red de información global con objeto de descubrir rápidamente las nuevas amenazas.
Funciones de revisión y restauración para comprobar y comparar los resultados de exploraciones y recuperar archivos.
Detección y limpieza mejoradas para rootkits y otras amenazas sofisticadas.

Requisítos:

Al menos un procesador Intel™ Pentium™ a 300 MHz o equivalente.
256 MB de memoria como mínimo.
Windows Xp, vista, Win7 con versión de 32 y 64 bits.
200 MB de espacio disponible en disco como mínimo.

Descarga:

Robo de datos mediante Keyloggers tipo hardware

noreply@blogger.com (Albert López) — Fri, 26 Feb 2010 12:02:00 +0000

Ya muchos serán conocedores de los keyloggers y si no por su nombre técnico al menos por sus características. Los Keyloggers són programas capaces de recoger las teclas pulsadas en un ordenador y luego ya según la complejidad de este las puede por ejemplo enviar a un servidor, por mail o almacenarlas en el propio ordenador.

Hay keyloggers comerciales con el fin por ejemplo de poder controlar lo que escribe y lo que mira un niño aunque este tipo de espionaje que hacen muchos padres ya es otro tema aparte a debatir.

Partiendo de la base de lo que es un keylogger y sus posibilidades, hablaremos de los keyloggers tipo hardware que no es más que un dispositivo físico capaz de realizar sus funciónes y almacenar hasta millones de teclas pulsadas.

El funcionamiento es muy sencillo, se conecta entre el conector del teclado y el USB del ordenador y no solo mediante éste sistema sino también mediante Ps/2. Al enviar las teclas pulsadas del teclado al ordenador, este aparato servirá como filtro para memorizarlas.

Se debe tener en cuenta que para alguien con malas intenciones que quiera usarlo por ejemplo para robar algunos datos o espiar deberá tener acceso físico al ordenador, ya que trata de un tipo de harware que se debe conectar. Detectar estos dispositivos es muy sencillo, simplemente fijándose detrás del ordenador, en la conexión del teclado se puede ver si hay interconectado algún dispositivo.

Es importante hablar de la inseguridad que puede suponer, un dispositivo de estos ya que su instalación es muy sencilla y en oficinas, cibercafés o centros con ordenadores públicos cualquier persona puede intervenír y recopilar gran cantidad de datos. Por general, gracias a los medios de comunicación y Internet, la gran mayoría de la gente es precavida en el sentido de hacer operaciones bancarias online aunque no son los únicos datos de interés que se puedan robar.

Tres sencillas utilidades Anti-Rootkit

noreply@blogger.com (Albert López) — Thu, 25 Feb 2010 18:00:00 +0000

En éste artículo les presentaré tres sencillas utilidades Rootkit que he utilizado últimamente y creo que para los que les guste detectar las amenazas que se pueden encontrar en un ordenador nunca viene mal éste tipo de herramientas.

Por si alguien todavía no está familiarizado con los Rootkits, estos tienen el objetivo de ocultar malware en un ordenador inyectandose en algúnos procesos legítimos del sistema. Los Rootkits pueden ir conjuntamente con un malware o pueden ir integrado en el, generalmente están integrados y se hacen realmente difíciles de detectar y eliminar sin una herramienta que nos pueda ayudar.

RootRepeal

RootRepeal es capaz de analizar drivers y servicios a mdo kernel para detectar amenazas que se puedan inyectar en procesos o simplemente ocultar. Escanéa siete sectores diferentes a destacar archívos, procesos, servicios ocultos.

Además permíte guardar un log con todo el análisis escogíendo las diferentes partes a analizar y como extra nos permíte eliminar claves en el registro no deseadas.

The Avenger

Herramienta para poder eliminar archivos y claves del registro que no se dejan o por la acción de códigos maliciosos ocultos (rootkits).
Por defecto solo esta activo el escaneo sin eliminar nada, opcionalmente si marcas la casilla "Automatically disable any rootkits found"
seran eliminados en el próximo reinicio. La herramienta hace un escaneo en busca de Rootkit, aunque tambien podemos introducirle
las rutas a eliminar si ya sabemos mas o menos cuales son los rutas creadas por el rootkit.

Link: http://swandog46.geekstogo.com/avenger2/avenger2.html
Peso: 714 KB
S.O: 2000/XP/Vista 32-bits
Tipo: Sin instalación
Tutorial (ingles): http://swandog46.geekstogo.com/avenger2/tutorial.html

Cada vez que iniciemos el programa mostrará un aviso por parte del programador advirtiendonos, de que se use sabiendo los datos que vamos a eliminar/modificar pues puede causar problemas importantes al sistema.
Es muy aconsejable echarle un vistazo al tutorial, ya que muchos rootkits de sistema suelen crear servicios ejecutandose como un driver y al eliminarlo puede que el Pc no inicie bien mostrando la peculiar ventana azul de Windows, y aun que hubiesemos creado un backup antes no podriamos recuperarlo si el sistema no inicia.
Permite la carga de Scripts de terceros, ya sea buscando en internet o desde un archivo en el disco.
Reinicar es obligatorio para eliminar carpetas y/o archivos rebeldes.
Se generará un log de reporte después del reinicio, el log se encuentra en C:\Avenger.txt o en el menu del programa, la pestaña "File" y "Open Log File".

GMER Anti-Rootkit

Se divide en 8 pestañas;

Processes: Aqui encontraremos listados los procesos activos en la pc. Podemos matar un proceso en cncreto y visualizar la asociación de archivos utilizaods y sus dependencias.
Se pueden ejecutar comandos.
Modules: Muestra todos los drivers cargados, aunque no permite modificar nada. Nombre del archivo, ruta, dirección de memoria y tamaño del archivo.
Services: Muestra los servicios iniciados y algunos drivers especificos. Permite modificar el estado, el tipo de inicio e incluso eliminarlo.
Nombre del archivo, estado del servicio, ruta del archivo y descripción del proceso.
Files: Administrador de archivos con la peculiaridad de poder borrar un archivo de cualquier parte del disco duro.
Incluyendo la papelera de reciclaje y la carpeta System Volume Information que normalmente se consideran No accesibles por ser parte del sistema.
Registry: Administrador del registro. Permite modificar valores, exportarlos y salvar un log.
Rootkit/Malware: Utilidad de escaneo automatico para localizar entradas relacionadas con rootkits.
En teoría tendría que dejar borrar, matar procesos, borrar archivos, deshabilitar servicios y demas, pero al tratarse de rootkits, estos pueden deshabilitar estas opciones.
Permite salvar un log.
Autostart: Pequeño escaneo para poder ver todas las entradas del registro relacionadas con el inicio de programas. Ejecutables y librerias. Permite salvar log.
CMD: Esta opción no la he usado, pero tiene toda la pinta de una shell tipo a la ventana de ms-dos de Windows. Se pueden insertar comandos tanto en cmd como en regedit. Al introducirle un comando o instruccion, se crea una archivo .bat y/o .reg en la carpeta del Gmer para despues utilizarlos.

Peso: 286 KB
Tipo: Aplicación sin instalación.
S.O: Win2000/NT/XP/Vista
Idioma: Ingles
Link: http://www.gmer.net/

Manual de detección y eliminación de Malware

noreply@blogger.com (Albert López) — Tue, 09 Feb 2010 00:40:00 +0000

Tenía algo de tiempo y he acabado un manual sobre la detección de malware o posibles amenazas y posteriormente su eliminación. El manual está pensado para usuarios que se quieran iniciar en poder controlar mejor y de una forma más personalizada la seguridad de su ordenador o un ordenador y no requiere de conocimientos previos.

El propio manual tiene imágenes a color sobre los pasos seguidos y se divide en varios bloques, unos son más teóricos y otro son totalmente practico donde mediante la teoría dada se ha procedido a un caso real de detección y
eliminación de malware.

El manual tiene los siguientes objetivos:

Conocer algunas herramientas básicas y gratuitas para la detección de archivos sospechosos.
Localizar archivos sospechosos y eliminarlos.
Aprenderá más sobre el sistema operativo Windows y su funcionamiento.
Aprenderá el funcionamiento de los virus y gusanos más comunes.
Aumentar la seguridad de su entorno de trabajo así como una actitud activa frente a posibles amenazas.

Tipo archivo: PDF
Tamaño: 1 Mb
Compresión: Winrar
Páginas: 16
Descarga: Detección y eliminación de malware

Servicios Anti-Malware online gratuitos

noreply@blogger.com (Albert López) — Fri, 05 Feb 2010 00:24:00 +0000

Aquí iré poniendo una recopilación por categorías de distintos servicios online totalmente gratuitos con los que en unos minutos podremos analizar nuestro ordenador según el servicio que queramos. Los servicios se dividirán en varias categorías para mantener un orden y se irá actualizando cuando se encuentren nuevos.

Algunos de los servicios, pueden no eliminar malware, simplemente detectarlo, por lo que a veces estos escaners online son para hacer publicidad sobre una empresa o producto, así que se recuerda que nunca se debe sustituir ningún software de protección por un producto online similar.

Antivirus

Anti-Espías

Escaner de archívos ejecutables

Escaner archívos PDF,Word,Excel

http://www.informatica64.com/foca/

Escaner Javascript y flash

http://wepawet.iseclab.org/

Escaner de puertos

Logs de hijackthis

http://www.hijackthis.de/

Si tienen problemas con alguno de los enlaces o conocen otros sitios que no están en la lista se agradecería que se reportara a albert_lopb@killtrojan.net o utilizar el formulario que hay en el blog en la parte de contacto.

Completo manual de metasploit: Metasploit Unleashed

noreply@blogger.com (Albert López) — Thu, 04 Feb 2010 00:29:00 +0000

Para los que están interesados en tests de penetraciones de sistemas, una de las herramientas más utilizadas hoy día es el Metasploit Framework, una herramienta utilizada por miles de profesionales dedicados a la penetración de sistemas para comprovar la seguridad de estos.

La herramienta se basa en un gran número de librerías y módulos configurables por el usuario para posteriormente provarlos contra un sistema donde si la penetración tiene éxito se avisará al usuario. Para obtener más información sobre que es y como trabaja pueden visitar la página web de metasploit donde podrán descargarlo gratuitamente.

Por otro lado, el objetivo del post, es la de ofrecer ayuda a todos aquellos usuarios que se inicien con metasploit o quieran empezar a hacer sus propios test, para ello les recomiendo un tutorial muy completo y gratuito creado como proyecto de la web offensive-security.com. El manual está en inglés pero está muy bien estructurado y resumido con todo ejemplificado.

La mayoría de tutoriales sobre el Metasploit Framework son muy escasos en cuanto información o no son gratuitos. Éste viene con un índice donde queda perfectamente estructurado, espero que disfruten el curso, no se hace pesado y es fácil de entender.

Enlaces de interés

Desocultando Rootkits con GMER

noreply@blogger.com (Albert López) — Thu, 14 Jan 2010 15:24:00 +0000

Dentro de los diferentes tipos de malware existe un tipo llamado rootkits, estos se ocultan el el sistema generalmente a partir de procesos legítimos del sistema y es difícil a veces de una forma manual con un análisis del equipo poder determinar si hay un rootkit instalado.

Lo más típico de los rootkits es ocultar malware o ocultarse ya introducidos en malware en procesos usados por el sistema, pero el verdadero peligro de estos residen en sus capacidades ya que pueden llegar a cambiar archivos que dependen de una forma muy directa con el sistema operativo como son librerías.

Hace unos dias , ví un caso de infección mediante un rootkit localizado gracias a una utilidad llamada GMer. Algunos antivirus son capaces de detectar acciones producidas por un rootkit, pero como generalmente suelen pasar desapercibidos se recomienda la utilización de GMer, que brinda unas cuantas opciones suficientes para detectar y estudiar la actividad que puede tener un rootkit en un equipo infectado.

Las características de GMer son las siguiente:

Visor de procesos funcionando en el sistema, permite cerrar procesos y ver los archivos que están en funcionamiento bajo cada uno.
Muestra todos los drivers cargados.
Muestra los servicios iniciados, los nombres de archivos de cada uno y permite hacer modificaciones.
Tiene una sencilla interfaz para poder visualizar el registro, modificar o eliminar entradas y valores y poder salvar un registro de este.
Permite crear un registro de todas las entradas relacionadas con el inicio del sistema así como crear un log de estas.
Tiene una shell parecida al CMD donde se pueden introducir órdenes.

En la propia página de GMer tienen otras herramientas relacionadas con la detección y eliminación de rootkits y de vez en cuando actualizan sus productos. Para más información pueden visitar la página.

http://www.gmer.net/

Falso antivirus copia de McAfee llamado Macatte

noreply@blogger.com (Albert López) — Fri, 08 Jan 2010 23:04:00 +0000

En el blog de McAfee ya han publicado la noticia con un punto bastante irónico y es que los creadores de malware a veces son capazes de sorprendernos con copias de software comercial digno del mercado chino.

Hablamos de Macatte, un rogue con las mismas características de cualquier otro con la particularidad que tanto la página web como el malware es clavado a los diseños de Mcafee. Desde el blog del antivirus comentan la noticia con cierta ironía aunque no deja por eso de ser menos importante ya que sigue siendo una amenaza real que engaña a los usuarios y en el peor de los casos estos pagan 99$ por una versión completa de Macatte que no es tan solo ni un antivirus.

Algunas de las características de este rogue son las siguientes:

Muestra mensajes de alerta falsos y falsifica los del centro de seguridad.
Hace aparecer molestos iconos en la bandeja que parpadean.
"Secuestra" la página por defecto del navegador por otra.
Bloquea software antimalware del equipo infectado.

Por suerte, la incidencia queda como una anecdota, ya que el propio equipo de Macafee se puso en contacto con los registradores de dominio para que dieran de baja el falso dominio.

Si quieren pueden leer en el siguiente enlace, el artículo completo que han publicado en el blog inglés de Macafee:

Artículo del blog inglés de Macafee

El rogue afecta tanto a equipos con xp o Vista como los nuevos equipos que tienen windows 7, por suerte ya es detectado por una gran cantidad de antivirus con el alias de FakeAlert-Macatte.

Malware que cambia la página de google a una página falsa del buscador con publicidad fradulenta.

noreply@blogger.com (Albert López) — Fri, 08 Jan 2010 20:49:00 +0000

Se ha descubierto un nuevo malware que se hace pasar por unos codecs para manipular el archivo "hosts" para que el usuario, cuando quiera visitar la página del buscador google, sea redireccionado a falsas páginas con una apariencia similar a la original con propaganda sobre productos de farmacia o juegos en línea.

El ataque del malware, lo produce sobre el archivo host, archivo que se ha comentado últimamente se es muy aprovechado para técnicas de phishing o pharming. Algunas de las IP's de los servidores de google, son modificados a otros dominios en el archivo Hosts para que el equipo infectado erróneamente redirigía a estas falsas páginas.

Una de las páginas falsas a la que redirije en vez de poner "google" pone "Glike" y mantiene exactamentee el mismo diseño que la web del buscador, para que vean un ejemplo aquí se adjunta una captura de la falsa página que proviene de Rusia.

Cuidado con falsas postales de navidad infectadas

noreply@blogger.com (Albert López) — Thu, 07 Jan 2010 23:34:00 +0000

Hace unos pocos días, iba a escribir un artículo sobre el cuidado en especial que se debe tener en ciertas épocas del año donde abunda todo tipo de malware que aprovechan la confianza de la gente para infectar ordenadores con fines propios.

Este es quizá el caso de las postales de navidad, ya se ha advertido en otras webs desde el mes de diciembre pero parece que los usuarios no acaban de estar informados y solo hacen que llegar alertas de las mismas falsas postales constantemente. El malware se distribuye mediante mensajes de correos fraudulentos donde se adjunta una postal, el usuario descarga la postal y cuando la ejecuta no pasa nada, al menos delante sus ojos.

Voy a exponer un ejemplo de una botnet en este caso, que utiliza un email como gancho para propagarse por todo el mundo mediante spam en las bandejas de entrada de correo de miles de personas. El adjunto se llama Postal.exe y cuando el usuario lo descarga y ejecuta pensando que puede ser una bonita postal su ordenador queda infectado por un gusano con las siguientes características:

- Crea dos entradas en el registro para auto-ejecutarse en el inicio:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win,dows\CurrentVersion\Run\MicrosoftNAPC c:\WINDOWS\system32\systems.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\MicrosoftCorp c:\WINDOWS\system32\systems.exe

- Guarda dos cópias en el ordenador infectado con los siguientes nombres:

systems.exe
nmn.exe

- Genera un falos sitio virtual del banco de Banamex para realizar ataques de phishing.
- Es totalmente una botnet que utiliza el puerto 6667 conectándose a un servidor del IRC para recibir órdenes y ser controlada.
- Se propaga mediante la siguiente vulnerabilidad: LSASS MS04-011-lsass que afécta a varios sistémas operativod.

Viendo por encima las características de una de las muestras de una Postal falsa, cabe tener en cuenta las precauciones pertinentes ya que un infiltrado de estos puede causar bastante daño y no solo al propio ordenador sino servidores de terceros. Es por eso que se recomienda tener un especial cuidado con temas de postales y felicitaciones de navidad y aunque las navidades ya casi están acabadas todavía en el mes de enero podrían seguir enviándose.

Técnicas víricas para anular las actualizaciónes de los antivírus

noreply@blogger.com (Albert López) — Thu, 07 Jan 2010 00:41:00 +0000

Hoy vamos a comentar una de las formas que tiene el malware de combatir contra los antivírus o programas de seguridad que protegen el ordenador y es quizá uno de los mayores problemas ya que en muchos casos los usuarios no se dan cuenta de ello, la técnica consiste en sobrescribir el archivo hosts, del que ya se ha hablado algúna vez, para que los antivírus no puedan actualizarse devídamente.

Primero de todo hacer un breve resúmen del uso del archivo hosts, este archivo está ubicado en C:\windows\system32\drivers\etc\hosts.txt y tiene la finalidad de resolver los nombres de domínio con sus IP's correspondientes, de esta manéra en un principio este archívo solamente tendrá una sola línea útil definida como localhost apuntando a la dirección 127.0.0.1 que es la de nuestro propio equipo, es decir el archivo tendrá únicamente una sola línea como la siguiente:

127.0.0.1 localhost

Con esta forma para resolver domínios, se nos ofrece mediante una trampa engañar al ordenador para bloquear las páginas que nos interésen, de hecho múchos bloqueadores de páginas utilizan éste método. Por ejemplo, si queremos bloquear una pagina llamada www.ejemplo1.com, simplemente tendrémos de añadir una línea a nuestro archivo hosts, asignandole una IP falsa a ese dominio web. Aparte de bloquear, ofrece otras posibilidades como poder hacer redirecciónes a paginas falsas, pero ese ya es otro tema que se comentará más adelante, así que la nueva estructura de nuestro archivo hosts será:

127.0.0.1 localhost
127.0.0.1 www.ejemplo1.com

Queda por comentar, que estos bloqueos pueden ser directamente de dns o servidores y es aquí donde realmente se verá el problema que puede existir con las actualizaciónes de los antivírus. Hablándo ya sobre los antivírus, la mayoría se actualizan cada dia o varias veces al dia y para ello requieren poder conectarse a un servidor para verificar y bajar las actualizaciónes.

Imagino que sobre estas alturas ya pueden empezar a ver el problema, cualquier malware podría añadir al archivo hosts, una resolución de IP falsa por ejemplo al servidor que se conecta nuestro antivírus, de esta forma nunca llegaría a poder efectuar la actualización y nuestro ordenador quedaría desprotegido. Para que vean un ejemplo mas práctico realizaremos un ejemplo con el antivirus gratuito Avast, en mi caso se actualiza mediante un servidor que conecta al dominio a691sm.avast.com que tiene una dirección assignada, si en el archivo hosts le añado:

127.0.0.1 localhost
127.0.0.1 www.ejemplo1.com
127.0.0.1 a691sm.avast.com

Al intentar actualizar el avast este no es capaz de hacerlo, ya que al introducir el servidor para descargar las actualizaciónes (a691sm.avast.com) el ordenador lo interpreta como dirección local, es decir la del propio ordenador y nunca llegará a conectar en los servidores de avast.

Visto un resúmen de la teoría sobre el archivo hosts y su sencíllo funcionamiento, cualquier vírus fácilente puede deshabilitar las actualizaciónes de un antivírus sin dañarlo o cerrando los procesos de este ya que normalmente si se desactiva el propio software avisa o no es muy difícil darse cuenta.

Con un simple módulo en nuestro malware, podríamos escribir en el archívo hosts, una simple línea para deshabilitar las actualizaciónes del antivírus que querámos mientras sepámos las direcciónes de los servidores donde conectan, información que es pública y cualquier puede encontrar.

A continuación escribiré el fragmento del módulo que podría deshabilitar las actualizaciónes de un antivírus escribiendo en el archivo hosts una simple línea. El fragmento lo escribiré en pascal aunque podría haberlo escrito en basic o C de una forma igual de sencilla.

Procedure desactivar_upd_av;
var
hosts:text;
assign (hosts,'C:\windows\system32\drivers\etc\hosts.txt');
append(hosts);
writeln (hosts,'127.0.0.1 a691sm.avast.com');
close (hosts);
end.

Como se puede ver es muy fácil modificar éste fichero, y no solo para alterar las actualizaciónes de los antivírus, sinó para otras técnicas que utilizan programas malintencionados como la redirección a falsas páginas por eso es recomendable de vez en cuando hechar una ojeada al archivo hosts, o utilizar algúnos de los programas que lo verifíca.

Inmunet Protect: Otro antivirus basado en la nube

noreply@blogger.com (Albert López) — Mon, 04 Jan 2010 12:28:00 +0000

Ya muchos conocerán el Panda Cloud Antivirus, un antivirus que utiliza su base de firmas de forma online y que permiten grandes ventajas como mas rapidez, menos consumo de recursos y mejor compatibilidad con otros programas antimalware.

Existe otra alternativa presentada por Immunet, ésta es conocida como Immunet Protect y no solo ofrece un antivirus basado en la nube sinó que permite al usuario el uso de un nuevo concepto llamado "Colaboración comunitaria" donde de manera online se puede alertar de nuevos archivos sospechosos para alertar a los demás usuarios.

Por otra parte presenta otra ventaja y es que permite la protección de malware en redes sociales tales como facebook o twitter existiendo una gran comunidad online sobre el producto, además el usuario tiene la opción de compartir con sus amigos la protección de immunet enviando de forma sencilla invitaciónes mediante las redes sociales de este producto.

Dos de las desventajas mayores de este software, junto con el panda cloud antivirus es la necesidad de tener conexión a internet, aunque casi todo el mundo disponga de ella no quiere decir que un ordenador esté siempre conectado y quizá sea mejor optar por otras opciones aunque no tengan una seguridad muy elevada. Otra de las desventajas es la facilidad para un malware de desactivar la protección del antivirus, al igual que su compañero de Pandasolamente hace falta cerrar un proceso para dejar no operativa la protección.

Los requisítos del sistema, son realmente bajos así que se puede utilizar en ordenadores que requieran poco consumo de recursos, a continuación hay las recomendaciones mínimas para utilizar éste antivirus:

32 MB de ram.
Windows vista / windows XP / windows 7.
Conexión a internet.
Unas decénas de MB libres en disco duro.

Si quieren ver más información sobre el programa, pueden visitar directamente su página web en inglés.

Página web: Immunet Protect

Posible spyware o malware en FireNudge para msn

noreply@blogger.com (Albert López) — Thu, 31 Dec 2009 13:54:00 +0000

He visto bastantes mensajes de gente preguntando sobre un mensaje de msn en el cual se envían cinco zumbidos seguidos y se invita a descargar un programa llamado Imbooster/firenudge. El responsable de esto es una empresa llamada "Iminent" que ha elaborado un programa para enviar cinco zumbidos seguidos a los usuarios que se tengan en el msn y un mensaje invitándoles a bajar el software.

En la propia web de este programa tan inútil invitan a la gente a descargarselo, ya que aseguran que si lo instalas los zumbidos que puedan llegarte de tus contactos no tendrán efecto. Analizando la utilidad del programa parece que la empresa solo tenga interés en poder tener su programa en el máximo número de ordenadores sin que este presente ninguna utilidad.

El programa parece usar un gancho vírico como es el de protegerte de los zumbidos como si de un juego se tratase, aunque no es descartable que detrás de "firenudge" se esconda algún tipo de malware espía.

El mensaje que llega mediante messenger de un contacto que tenga firenudge es el siguiente:

---EmI--- te ha enviado un zumbido.

---EmI--- te ha enviado un zumbido.

---EmI--- te ha enviado un zumbido.

---EmI--- te ha enviado un zumbido.

---EmI--- te ha enviado un zumbido.

---EmI--- dice:
Recibiste un FireNudge! Baja el IMBooster ya para poder hacer el mismo! http://es.iminent.Com/firenudge/?v=true&ref=pub.adwordcontent.es.moodavatars.y09

Estadísticas de malware año 2009: Tipos de malware y métodos de propagación

noreply@blogger.com (Albert López) — Mon, 14 Dec 2009 23:05:00 +0000

Aquí he recojido estadísticas elaboradas por la UNAM-CERT sobre las amenazas que han analizado éste año donde encontramos dos análisis principales. Un primer análisis sobre los tipos de malware mas encontraod y otro análisis estadístico de los principales métodos de propagación de estos.

Como se ve en el gráfico predominan las botnets y es que tal como habíamos comentado ya alguna vez ofrecen ciertas ventajas sobre otros tipos de malware como un "poder virtual" y poder económico. Por otro lado tenemos que destacar la detección de troyanos. Parece que las herramientas que dañan de una forma intencionada a terceros son las más usadas. Las menos en este caso es el spyware aunque siempre se ha mantenido en niveles bajos ya que aunque mediante este se pueda obtener datos de un usuario no llama tanto la atención el tipo de control que se puede ejercer.

En cuanto a métodos de propagación, destaca la propagación mediante vulnerabilidades, es una forma bastante efectiva ya que muchisima gente no actualiza su software. Un claro potenciador de este efecto es el software pirata, que al no actualizarse con el tiempo puede dejar graves brechas en la seguridad del ordenador y vulnerale a cualquier ataque. Por otra parte cabe destacar los sitios webs malintencionados, muchas veces sitios falsos por ejemplo de vídeos donde se engaña al usuario para que baje un codec donde este queda infectado. También mediante el uso de navegadores desactualizados o versiones de navegadores con un gran numero de agujeros como Internet Explorer 5 o 6.

Libros de Marck Ludwig sobre estudio y evolución de los virus informáticos.

noreply@blogger.com (Albert López) — Mon, 14 Dec 2009 12:20:00 +0000

Aquí podrán encontrar tres libros en formato PDF muy interesantes sobre los virus informáticos, cada uno de los tres libros trata temas varios desde la evolución de los virus hasta un análisis de estos. Cabe destacar que los libros se remontan a una visión ya algo antigua aunque no dejan de ser por eso menos interesantes.

El que mas recomiendo es el "The little Black book of computer virus" ya que este fue el primero en salir tanto en papel como en versión electrónica y es quizá la obra mas famosa de las tres. En los tres libros, se adjuntan códigos en ensamblador sobre los distintos módulos que se estudian y analizan.

En el giant black book y en el de la vida artificial y evolución de los virus, originariamente venían con unos archivos con algunos ejemplos de códigos víricos que no se han adjuntado en estas descargas, ya que lo importante es el contenido de los escritos.

Nuevo malware que se distribuye por mail Imagem1.jpg/Convite.zip

noreply@blogger.com (Albert López) — Fri, 11 Dec 2009 14:51:00 +0000

Desde stopmalware.net se informa de un nuevo gusano que se propaga mediante email simulando una fotografía que en realidad es un enlace a un archivo comprimido fraudulento. El mail está escrito en portugués y la víctima una vez infectada enviará a sus contactos un mail similar con una copia del gusano adjunta.

El mensaje llega mediante el correo electrónico de un contacto conocído que ha sido infectado diciendo lo siguiente y con el siguiente asunto: "OIII...!! TUDO BEM?‏"

1 anexo
Imagem1.jpg (2,5 KB)
Oiiii...!! tudo bem?
Pois é eu sumi... mas eu não esqueci
daquela nossa foto.
Pois aqui está a foto que você tanto queria...
Tchauuuu!!!
Segue abaixo a foto.

Visualizar, Barixar ou Imprimir Imagem1.jpg

El enlace se puede detectar fácilmente que es fraudulento situando el cursor encima de este, si se clickea se abrirá una ventana que contiene el siguiente fichero:

http://www.fileden.com/files/2009/12/9/2682060/convite.zip

El gusano es relativamente nuevo, desde hace unos pocos días y todavía tardarán los antivirus en añadirlo a su base de firmas, por lo que se recomienda eliminar automáticamente estos mensajes. Nod32 lo detecta como w32/Bankos.trojan.nog.

Eliminando nuevo falso antivirus: Antitroy

noreply@blogger.com (Albert López) — Thu, 10 Dec 2009 23:28:00 +0000

Antitroy es un nuevo falso antivirus similar a los muchos ya comentados con anterioridad con la finalidad de engañar al usuario para que compre una "versión completa" de este supuesto programa de seguridad. Para convencer al usuario Antitroy hará aproximadamente unas centenares de detecciónes falsas y advertirá al usuario que si no compra la versión completa, no podrá desinfectarse.

Por si alguien todavia dudaba no existe tal versión completa ni tan siquiera el antivirus funciona realmente, así que si en tu ordenador localizas este malware a continuación se detallaran los pasos para poderlo eliminar manualmente de forma eficaç.

Primero de todo, debe cerrar el proceso creado por el malware, para ello se debe presionar cntrl +alt +sup para abrir el administrador de tareas donde terminarémos los siguientes procesos:

AntiTroy.exe
[RANDOM CHARACTERS].exe
Uninstall.exe

Una vez terminados los procesos, ya podrémos eliminar los archivos, ya que si los intentáramos eliminar con los procesos abiertos es cuando sale el típico mensaje de que el programa no se puede cerrar porque es una aplicación utilizada por windows. Como se ha dicho, eliminarémos los siguientes archivos, para encontrarlos se puede utilizar la opción de "Buscar" que tiene windows en "Inicio > Buscar"

AntiTroy.exe
[RANDOM CHARACTERS].exe
main_config.xml
uninstall.exe
Los siguientes archívos que basicamente són accésos directos y dependencias/librerias del malware: 1009stea525z1.dll AntiTroy.lnk 1 AntiTroy.lnk 2 Homepage.lnk 3 Uninstall.lnk 1018zhr5at19497.ocx 101z5hie92236.ocx 1853worz2f19.bin 18f0addwaze5917.ocx 194z45py6b9.ocx

Una vez realizada la limpieza de los archívos ya solamente quedará eliminar las claves del registro que utiliza el malware para autoiniciarse en cada inicio de windows. Para ello solamente hará falta ir al registro de windows a eliminarlas. Para ir al registro de Win ir a "Inicio > Ejecutar" y escribir "Regedit", allí buscar las siguientes claves y eliminarlas.

HKEY_CURRENT_USER\Software\AntiTroy
HKEY_LOCAL_MACHINE\SOFTWARE\AntiTroy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntiTroy
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "AntiTroy.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"[RANDOM CHARACTERS].exe "
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "AntiTroy"

Ahora ya solo quedará reiniciar el ordenador y comprovar que los archivos maliciosos ya no estén en el equípo. Una vez comprobado si el resultado es positivo faltará por eliminar las carpetas que ha dejado el malware que se podrán encontrar en las siguientes rutas:

c:\Program Files\AntiTroy Software
c:\Program Files\AntiTroy Software\AntiTroy
C:\Documents and Settings\All Users\Start Menu\Programs\AntiTroy

A partir de aquí el equipo ya estaria totalmente limpio, si al reiniciar persisten los archivos o procesos se deberá repetir el proceso a partir del primer punto.

Anuncios inadecuados en Windows Live Messenger

noreply@blogger.com (Albert López) — Fri, 04 Dec 2009 23:57:00 +0000

Hace poco me llamó la atención un mensaje de un usuario sobre un anuncio de una campaña publicaria muy usada y "prestigiosa" la cual mostraba un mensaje lleno de palabras obzenas al alcance de cualquier internauta que pudiera ser mayor o menor. Este usuario se enteró de ello porque su hermano pequeño que en ese momento estava delante la pantalla navegando le pregunto que era "Eyaculación precoz".

Hace un rato, en una de mis visitas a mi cliente de mensajería instantánea, windows live messenger, he podído encontrar el siguiente mensaje publicario en el pie de la ventana de conversión:

Digo yo, no se está creando una apología hacia las drogas? Cabe ser consciente que alrededor del 60% de personas que utilizan este servicio de mensajería instantánea es gente joven de la que una buena parte son menores.

Es correcto que se exhiban este tipo de mensajes para recaudar la atención de la gente? Los términos del anuncio se refieren a conceptos de drogas totalmente ilegales y parece que con este anuncio lo mas normal es que tengas de estar familiarizado con esos términos.

Las empresas o sitios que publican estos anuncios saben muy bien al tipo de público al que dirigirse, pero me parece nefasto que se pueda alguien beneficiar mediante un mensaje como ese y menos que se anuncie en un programa de una compañía de "prestigio" como es el Windows Live Messenger.

Este mensaje se sale de lo que se publíca en este blog, pero es importante denunciar este tipo de hechos para que las empresas tengan mas cuidado de la seguridad de la información y no pasen cosas como estas.

Codigos maliciosos en páginas web

noreply@blogger.com (Albert López) — Fri, 04 Dec 2009 21:59:00 +0000

Seguro que todos los que lean este post mas de una vez han recibido correo basura mediante algún sistema de mensajería o correo, sin tener en caso el phishing hay que distinguir código web malicioso o si mas no código web con intenciones maliciosas.

Un típico código es el de redireccionar a una página web con código dañino o de descarga de malware mediante un enlace que aparentemente no parece falso o que dirigía a la página dañina. Cabe distinguir este tipo de código malicioso con lo que es el phishing ya que realmente el objetivo no es el mismo ya que mediante códigos maliciosos en una web se puede conseguir ejecutar un archivo remotamente para abrir una brecha en la seguridad de un equipo y poder tomar control en este.

El código web malicioso, en la mayoría de los casos son scripts tipo visual basic script y la mayoría de javascript que permíte la explotación de un navegador para ejecutar código remoto. Por suerte, muchas de las suites antivirus que existen hoy día tienen buenos módulos de detección de código malicioso y bloquean paginas o inhabilitan el código en ellas.

También podemos encontrar código malicioso en emails que nos lleguen de mensajes generalmente de publicidad o mensajes de contactos desconocidos con algo que pueda llamar nuestra atención.

D:\ForE-mail\wfzala\F Drive\DataBackup\EMail&Address 23-04-07\EMail&Address\HotMailInbox (2).dbx/[From MALENHANCER ][Date Tue, 08 Aug 2009 09:22:45 -0800 (EST)]/UNNAMED/Alycat_23_click-PERMANENTENLARGER.htm Infected: Trojan.JS.Redirector.b skipped

Aparte de las protecciones activas de nuestro ordenador como puede ser una buena suite anti-malware es necesario tener una seguridad pasiva donde la mayoría de veces lo más importante es el sentido común. Dentro la seguridad pasiva también radica distintos factores como el uso de las actualizaciónes periódicamente del sistema operativo, actualizar el navegador que usemos o por ejemplo tener ciertas opciones activadas o desactivadas como la ejecución de scripts.

Está demostrado y bajo mi experiencia puedo asegurar que dependiendo del navegador un equipo será mas vulnerable que otro depende del que use y la versión que use. Un ordenador con Internet Explorer 6 es muy sencillo que acabe afectado por alguna vulnerabilidad y el equipo esté en un constante riesgo de ser afectado.

Nuevo Spyware Porn Downloader

noreply@blogger.com (Albert López) — Wed, 02 Dec 2009 12:24:00 +0000

Varias veces se ha comentado y analizado los falsos antivírus que mediante alertas falsas como reclamo incítan a los usuarios a pagar versiónes completas para eliminar distíntos virus o spyware falso, pero la astúcia de los delincuentes se amplía en cuanto a métodos de descarga de malware.

En este caso presentamos Porn Downloader, aparentemente un programa de gestión de descargas de videos eróticos con buscador incluido como los muchos que existen, aunque en éste caso los videos descargados són totalmente falsos y lo que realmente descarga són distíntas clases de malware alojadas en servidores ajénos.

No es el único programa fake que cumple con estos objetivos y són una importante fuente de distribución de malware. Este programa permite la descarga teórica de videos de distíntas webs con el simple enlace del video. Luego el usuario decide donde quedará guardado y automáticamente aparece una barra de descarga simulando la bajada del vídeo.

Los usuarios quizá por desconocimiento o por ser demasiado confiados no saben que realmente están descargando malware en su ordenador y es muy dificil crear una lista de este tipo de programas ya que abúndan en foros o inclúso canales de chat. Cada vez tienen una apariencia mas realista y se necesita un estudio a fondo para determinar si realmente es perjudicial para nuestros equípos.

La Guardia Civil imputa a un menor de edad el ataque informático a más de 75.000 ordenadores

noreply@blogger.com (Albert López) — Tue, 01 Dec 2009 12:33:00 +0000

Despues de mucho tiempo, ya por fín la noticia ha sido pública y lo menos que puedo hacer es dedicarle una entrada como moderador y colaborador de elhacker.net. Hace ya meses, la página elhacker.net fue atacada por una gran cantidad de botnets con la finalidad de provocar un ataque Ddos. El ataque fue llevado con éxito y de forma regular se generaban ataques que dejaban offline la página.

El administrador de la web, lo denunció y se ha podido llevar una investigación policial hasta el fondo de la cuestión. Hace unos pocos días salía la noticia en diferentes periódicos y medios de comunicación digitales. El delincuente informático, apodado como "n3ptun0" ha pasado a disposición de la fiscalia de menores, después de infectar a unos 75.000 ordenadores y atacar a diferentes sitios webs.

Según se ha podido leer, el menor carecía de estudios ya que solo había cursado hasta 2º de la ESO y según el ha aprendido de una forma totalmente autodidactica. También le han hecho una entrevista en la cual deja bastante que desear sobre sus conocimientos haciendo afirmaciónes bastante ilógicas dentro el mundo de la seguridad informática y alardeaneando de diferentes aspectos como el que solo quería demostrar que era mas listo que todos.

Stop-Malware da todo el apoyo a elhacker.net y a todas las comunidades que han sido perjudicadas y esperamos que el menor pague de forma justa por sus acciones.

Enlaces de interés:

Aquí tienen un email enviado por el delincuente a un coadministrador de elhacker.net:

From: n3ptun0 n3ptun0 < n3ptun0@hotmail.com >

Date: 2009/7/6
To: sirdarckcat@pepepe.com

Hola sirdarckat, ¿qué tal? ¿vos tenes algún problemita de mente o algo? no sé, te ataco tu foro y andas riéndote, no sé si el problema viene de mente o esque de psicología andas un poco mal la verdad, ¿piensas que eso me jode? mira te lo diré claro pibe, dispongo de más de 75.700 bots, 1.000 nuevos por dia, y actualmente no te he atacado ni con la mitad, ni con un cuarto diría yo, solo han sido pequeñas pruebas y ya no iva a atacar más, como has podido comprobar el ataque son simples visitas, que abras podido ver en el log del apache, ni si quiera te ataque con flood al http, he visto tu actitud de idiota, por que la verdad es que no sé como definir tu actitud, "IDIOTA", "ánimo! que superamos el record" jajajaja la verdad es que sos un poquito retrasado pibito, me das lástima, a y no te confundas amigo, no busco fama, ni tampoco soy netzeek.

me tendré que pensar si segir puteándolos o no, por cierto, los ataques no son fijos, son aleatorios de cuando me aburro les meto unos cuantos bots, pero ya se ve que sois bastante novatos, por que les metí pocos bots y no fueron capacez de pararlo, y creeme es muy fácil parar este ataque que les estoy haciendo, b ueno ya me pensaré si los sigo puteando con todos los bots, el foro ese está lleno de lammers la verdad, y de pibitos que se creen hackers programadores y solo son unos virgenes de 16 años.

n3ptun0

Recopilación de Falsos Antivirus Win32/FakeAV

noreply@blogger.com (Albert López) — Tue, 24 Nov 2009 19:29:00 +0000

No es la primera vez que hablamos de falsos antivirus o rogueguards cuya finalidad es la de hacerse pasar por una herramienta anti-malware con el objetivo de que el usuario pague por una versión completa que sea capaz de eliminar las falsas amenazas encontradas por estos programas.

Este tipo de software, distintamente a un virus o troyano, se instala en el sistema con la finalidad de dejarse notar para dar falsas alarmas a los usuarios. Incluso muchisimos de ellos crean enlaces directos en el escritorio con el fin de hacerse notar.

Una buena pregunta para hacerse es cuando una herramienta anti-malware puede ser considerada como falsa y aquí pondré algunos sencillos pasos para detectarlas ya que a veces es difícil y puede crearse confusión.

Detectan un número exagerado de amenazas
Siempre te muestran la opción de pagar por una versión completa, generalmente después de localizar gran cantidad de malware.
Tienen muchas veces nombres muy genéricos como AntivirusXXX o MalwareXXX
Suelen tener diferentes páginas web con nombres de dominio que incluyen números.
Algunos casos van o acompañan a otro tipo de malware en el pc infectado.

Generalmente se van actualizando cada año y muchos de ellos tienen los mismos nombres pero versiones nuevas, por ejemplo el Antivirus2008, tubo descendientes como el Antivirus2009, Antivirus2010 o el AntivirusXP. Aquí dejo una lista de los rogue's mas conocidos con sus respectivos iconos para que puedan ser localizados rápidamente.

Advanced Antivirus
Advanced Cleaner
AdwareRemover2007
AntiMalwareGuard
Antivirus 2008
Antivirus 2009
Antivirus 2008 XP
Antivirus Lab 2009
Antivirus Pro
Antivirus XP 2008
Antivirus XP 2009
Awola Anti-Spyware
BraveSentry
DrAntispy
DriveCleaner
MalwareAlarm
MalwareMonitor
MS AV
SecureExpertCleaner
Smart Antivirus 2009
SpyShredder
System Doctor
VirusRemover2008
Virus Response Lab 2009
WinSpywareProtect
WinXProtector
XP Cleaner
XP Guard

La eliminación de todos ellos no comporta ningún problema, simplemente se pueden desinstalar como cualquier otro programa des de el panel de control, también todos ellos incluyen un ejecutable uninstall.exe.