GETOVERX FORUM Community Support
WinFixer – FakeAV/Scareware – 2005 - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Scareware (https://forum.getoverx.com/forumdisplay.php?fid=26)
+--- Thread: WinFixer – FakeAV/Scareware – 2005 (/showthread.php?tid=37)

WinFixer – FakeAV/Scareware – 2005 - mrwebfeeder - 11-29-2025

Nombre:
WinFixer (familia de scareware/rogue security software; también visto bajo múltiples alias como ErrorSafe, WinAntiVirus, DriveCleaner, SystemDoctor, etc.)

Categoría:
FakeAV (Scareware) / Rogue Security Software

Fecha de descubrimiento:
c. 2005 (familia activa especialmente entre 2005–2008)

Comportamiento (lo que hace y archivos que infecta):
- WinFixer es un FakeAV: muestra alertas falsas de “infecciones”, “errores críticos” o “problemas del sistema” para presionar al usuario a comprar una licencia de una “solución” fraudulenta.
- Vectores de entrada típicos (históricos):
- Drive-by / malvertising (popups y redirecciones web).
- Falsos códecs / descargas engañosas (“para ver el video necesitas este codec”) y otros instaladores asociados a adware/troyanos.
- En algunos casos, llega como parte de infecciones relacionadas con familias como Vundo (Virtumonde) u otros descargadores de la época.
- Una vez instalado:
- Genera pop-ups persistentes, “escaneos” y reportes de detección falsos o exagerados.
- Puede redireccionar el navegador hacia páginas de compra/registro o “limpieza”.
- Puede degradar el rendimiento/estabilidad del sistema debido a cambios extensivos en el Registro y procesos residentes.
- Objetivo: monetización por engaño (scare tactics), no cifrado ni robo avanzado (aunque la instalación puede estar encadenada con otros componentes no deseados).

Persistencia:
- Persistencia clásica en entornos Windows antiguos:
- BHO (Browser Helper Object) en Internet Explorer para engancharse al navegador, provocar redirecciones y relanzar ventanas/páginas.
- Suele reflejarse en claves tipo:
- HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{GUID}
- Claves Run/RunOnce para ejecución al inicio:
- HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- En algunos casos, componentes que se relanzan automáticamente tras ser cerrados, manteniendo presión constante al usuario.

Hash real de referencia (SHA-256):
Code:
ead59834ce2d6dccb5fc35c8c3cd0e0a6f641fa6849e6d40c45d7e85bbf1b2bf

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar Full Scan y eliminar/cuarenar el ejecutable principal y componentes asociados (incluyendo módulos de navegador).
    - Recomendación práctica de rutas a priorizar (según el sistema/variante):
    - %TEMP%, %APPDATA%, %LOCALAPPDATA%, ProgramData, y carpetas de “Archivos de programa” donde aparezcan binarios no firmados o con nombres sospechosos.
    - Tras la limpieza, repetir un scan focalizado para confirmar que no quedaron instaladores secundarios o droppers.

  • Firewall:
    - Bloquear conexiones salientes de los procesos identificados como WinFixer/alias (si aún se ejecutan) para cortar:
    - Redirecciones a sitios de “compra/activación”.
    - Descarga de componentes adicionales.
    - Si el equipo está en red corporativa, aplicar aislamiento temporal de salida (egress restrictivo) durante la limpieza si se observan redirecciones o descargas repetidas.

  • HIPS/EDR:
    - Vigilar y alertar ante señales típicas de scareware:
    - Creación de BHO/Browser Helper Objects y modificaciones persistentes del Registro relacionadas al navegador.
    - Escrituras repetitivas en Run/RunOnce y relanzamiento automático tras terminar el proceso.
    - Procesos residentes que disparan ventanas emergentes y cambian configuración del navegador.
    - Respuesta recomendada:
    - Kill process de los binarios residentes (incluyendo procesos “notifier”/popups).
    - Bloqueo por hash del binario detectado (y de instaladores relacionados, si aparecen).
    - Registro del evento (proceso + cambios de Registro) para auditoría y hardening.

  • Sandbox:
    - Usar Sandbox para analizar:
    - Instaladores sospechosos “codec”, “limpiadores”, “reparadores”, “antivirus gratis” y descargas desde pop-ups.
    - Señales a observar:
    - Intentos de crear BHO, modificaciones de Run/RunOnce, y conexiones salientes inmediatas tras abrir el navegador.

  • Medidas posteriores al incidente:
    - Restablecer navegador (si aplica) y remover complementos/extensiones no deseadas (especialmente en sistemas antiguos con IE).
    - Revisar persistencia manualmente si el sistema es legacy:
    - BHOs, Run/RunOnce, accesos directos alterados y proxies configurados.
    - Verificar software instalado en la misma ventana temporal (bundling) y remover PUP/adware adicional.
    - Considerar actualización/renovación del endpoint si se trata de un sistema antiguo expuesto (muchas infecciones WinFixer ocurrían por navegadores/plugins vulnerables).

Notas opcionales:
- WinFixer fue operado bajo un ecosistema de “rogue security software” con múltiples alias comerciales, y su infraestructura fue objeto de acciones legales/regulatorias (periodo 2006–2012 reportado en distintas fuentes).
- En reportes históricos se describe su integración con Internet Explorer y su difícil remoción por la cantidad de cambios en Registro y componentes persistentes.