Instaladores de avast! con rootkit Alureon de “regalo”
avast! puede ser descargado desde varios sitios oficiales, entre ellos la sección de descarga de avast! de La tienda avast! . Pero según parece algunos están aprovechando nuestro producto y la buena acogida que está teniendo nuestra versión 5 del antivirus para publicar descargas fraudulentas, sobre todo ofreciendo avast! Pro y avast! Internet Security con licencias pirateadas.
La última semana los técnicos de avast! encontraron, mientras revisaban los envíos de posibles falsos positivos que realizan los usuarios de avast!, varios ficheros llamados AIS (avast! Internet Security, o como algunos suelen llamarla avast! Internet Suite). Una gran parte de ellos provenían de webs de descarga directa como Megaupload o Rapidshare. Nuestros análisis detectaron que hay gente que está creando instalaciones de avast! infectadas con un rootkit denominado Alureon (usualmente propagado con el nombre de codec.exe), combinando varios productos a través de un archivo instalador creado con Nullsoft Installer. Si la persona que se baja uno de estos ficheros ya tiene previamente avast! instalado, éste detectará el malware sin ningún problema.
Pero esta situación es más grave de lo que parece. Si un usuario quiere conseguir nuestros productos de pago de manera ilegal y se baja uno de estos archivos infectados con el rootkit, al ejecutar el archivo primero se instalará el malware y luego el antivirus, comprometiendo el sistema de manera muy poco recomendada, ya que cualquier instalación de un producto de seguridad en un ordenador que ya esté infectado previamente puede tener consecuencias imprevistas. Como es lógico, el entorno ideal es lo totalmente inverso: tener instalado el antivirus antes de que haya posibilidad de que entre en la máquina cualquier malware, sobre todo los rootkits que suelen ser elementos de muy difícil eliminación.
