ltd.exe, "Vista Antivirus Security 2012", ¿alguna información?

3

Estaba echando un vistazo a la computadora de alguien que tenía un virus. Se llamó a sí mismo "Visa Antivirus Security 2012". Resultó ser ltd.exe. Aparentemente bloquearía los programas al azar, resultó que había infectado la opción "abrir con" para archivos exe. Cambiar el nombre del archivo exe y luego restaurar las referencias abiertas que contenían ltd.exe solucionó el problema.

Revisé los registros de descarga del navegador (Firefox) para ver si había un exe allí. Pero no exes en el registro, excepto el otro antivirus (Avira) que se instaló intencionalmente hace bastante tiempo.

Esta fecha de modificación de ltd.exe es la fecha del primer inicio de este equipo hoy, siendo el primer día del año. ¿Hay información sobre otras ocurrencias de este ltd.exe, cuál es su título oficial, cómo se distribuye ?

Teniendo en cuenta lo que el usuario ha instalado y que se trata de un usuario cuidadoso, un poco experto en computadoras, creo que la causa más probable es una vulnerabilidad reciente en Java, que trae algún virus programado para 2012. Pero me gustaría saberlo. / p>

El usuario limpiará el disco duro.

    
pregunta George Bailey 01.01.2012 - 23:53
fuente

2 respuestas

3

Vista Antivirus Security 2012 es solo otro nombre para un programa de seguridad fraudulento de cambio de nombre común que altera su nombre y GUI según el sistema operativo en el que se esté ejecutando. Por ejemplo, XP Security 2012 , Vista Security 2012 y Win 7 Security 2012 se usan en Windows XP, Windows Vista y Windows 7 respectivamente (esta no es una lista completa).

Todos los nombres utilizados por este pícaro mencionan "2012", aunque (obviamente) la mayoría de las infecciones hasta la fecha han sido en 2011.

Los dos principales vectores de infección son: a través de páginas de "escáner" en línea falsas que afirman haber encontrado problemas graves en la computadora de la víctima y les pide que descarguen e instalen una solución; y, a través de sitios web legítimos comprometidos que explotan vulnerabilidades en los complementos del navegador o el propio navegador para descargar e instalar silenciosamente el pícaro.

    
respondido por el Andrew Lambert 02.01.2012 - 05:21
fuente
3

Es imposible decir con certeza cómo se distribuyó esta infección. El paisaje rogue-AV es un mercado complejo de grupos afiliados; es probable que el proceso de infección haya sido llevado a cabo por una parte diferente del equipo que está detrás de Vista Antrivirus Security. Cada afiliado de pago por instalación puede usar diferentes tácticas.

Pero sí, las vulnerabilidades de los complementos (especialmente contra Java y Acrobat) han sido el vector de descarga por unidad más popular en los últimos años, por lo que Java es una buena suposición. Los otros métodos comunes de infección son el juego de troyanos simple ("para ver esta página, instalar este códec ..." y otros) y el envenenamiento P2P, pero si tiene un usuario cauteloso, sería menos probable.

Pasar por los registros about:cache puede revelar algo.

    
respondido por el bobince 02.01.2012 - 00:14
fuente

Lea otras preguntas en las etiquetas