Byte Clark es un nuevo rogue destinado a los usuarios de habla portuguesa, en este caso la metodología utilizada para infectar es diferente a la otros rogues donde la propia aplicación fraudulenta se encargaba de desplegar falsas advertencias de seguridad y realizar falsos análisis del equipo.
Con Byte Clark todo comienza con un correo spam que simula ser una invitación, el correo incluye un adjunto maliciosos «ConviteFormatura.pps» de 52KB, este adjunto en realidad es un malware que al ser ejecutado se instala en el equipo bloqueando el acceso a varios documentos y programas (ransomware).
Entre los programas bloqueados o secuestrados se encuentran Word, Excel, PowerPoint, la calculadora, Windows Live Messenger, Adobe Reader/Acrobat, Paint, la galería de imágenes, entre otras funciones típicas de todo equipo. Cuando el usuario intenta abrir alguno de los programas anteriores se despliega un falso mensaje que hace referencia a un supuesto error de Windows:
Cuando se hace clic en el botón «Clique aqui» se abre una página con la «solución al problema», esta «solución» cuesta 20 dólares y se llama Byte Clark:
Cuando el falso antivirus es instalado y ejecutado se eliminan los archivos antes creados por el malware, de esta forma se genera una falsa sensación de seguridad pero la infección aún sigue presente ya que el falso antivirus también es capaz de robar información del equipo y enviarla por internet a una dirección de correo predeterminada.
Más detalles sobre Byte Clark en Linha Defensiva.
Imágenes: ARIS-LD/Reprodução