11-29-2025, 03:43 PM
(This post was last modified: 12-13-2025, 03:55 PM by mrwebfeeder.)
Nombre:
WinFixer (familia de scareware/rogue security software; también visto bajo múltiples alias como ErrorSafe, WinAntiVirus, DriveCleaner, SystemDoctor, etc.)
Categoría:
FakeAV (Scareware) / Rogue Security Software
Fecha de descubrimiento:
c. 2005 (familia activa especialmente entre 2005–2008)
Comportamiento (lo que hace y archivos que infecta):
- WinFixer es un FakeAV: muestra alertas falsas de “infecciones”, “errores críticos” o “problemas del sistema” para presionar al usuario a comprar una licencia de una “solución” fraudulenta.
- Vectores de entrada típicos (históricos):
- Drive-by / malvertising (popups y redirecciones web).
- Falsos códecs / descargas engañosas (“para ver el video necesitas este codec”) y otros instaladores asociados a adware/troyanos.
- En algunos casos, llega como parte de infecciones relacionadas con familias como Vundo (Virtumonde) u otros descargadores de la época.
- Una vez instalado:
- Genera pop-ups persistentes, “escaneos” y reportes de detección falsos o exagerados.
- Puede redireccionar el navegador hacia páginas de compra/registro o “limpieza”.
- Puede degradar el rendimiento/estabilidad del sistema debido a cambios extensivos en el Registro y procesos residentes.
- Objetivo: monetización por engaño (scare tactics), no cifrado ni robo avanzado (aunque la instalación puede estar encadenada con otros componentes no deseados).
Persistencia:
- Persistencia clásica en entornos Windows antiguos:
- BHO (Browser Helper Object) en Internet Explorer para engancharse al navegador, provocar redirecciones y relanzar ventanas/páginas.
- Suele reflejarse en claves tipo:
- HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{GUID}
- Claves Run/RunOnce para ejecución al inicio:
- HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- En algunos casos, componentes que se relanzan automáticamente tras ser cerrados, manteniendo presión constante al usuario.
Hash real de referencia (SHA-256):
Mitigación con GetOverX Shield v3.0.2.0:
Notas opcionales:
- WinFixer fue operado bajo un ecosistema de “rogue security software” con múltiples alias comerciales, y su infraestructura fue objeto de acciones legales/regulatorias (periodo 2006–2012 reportado en distintas fuentes).
- En reportes históricos se describe su integración con Internet Explorer y su difícil remoción por la cantidad de cambios en Registro y componentes persistentes.
WinFixer (familia de scareware/rogue security software; también visto bajo múltiples alias como ErrorSafe, WinAntiVirus, DriveCleaner, SystemDoctor, etc.)
Categoría:
FakeAV (Scareware) / Rogue Security Software
Fecha de descubrimiento:
c. 2005 (familia activa especialmente entre 2005–2008)
Comportamiento (lo que hace y archivos que infecta):
- WinFixer es un FakeAV: muestra alertas falsas de “infecciones”, “errores críticos” o “problemas del sistema” para presionar al usuario a comprar una licencia de una “solución” fraudulenta.
- Vectores de entrada típicos (históricos):
- Drive-by / malvertising (popups y redirecciones web).
- Falsos códecs / descargas engañosas (“para ver el video necesitas este codec”) y otros instaladores asociados a adware/troyanos.
- En algunos casos, llega como parte de infecciones relacionadas con familias como Vundo (Virtumonde) u otros descargadores de la época.
- Una vez instalado:
- Genera pop-ups persistentes, “escaneos” y reportes de detección falsos o exagerados.
- Puede redireccionar el navegador hacia páginas de compra/registro o “limpieza”.
- Puede degradar el rendimiento/estabilidad del sistema debido a cambios extensivos en el Registro y procesos residentes.
- Objetivo: monetización por engaño (scare tactics), no cifrado ni robo avanzado (aunque la instalación puede estar encadenada con otros componentes no deseados).
Persistencia:
- Persistencia clásica en entornos Windows antiguos:
- BHO (Browser Helper Object) en Internet Explorer para engancharse al navegador, provocar redirecciones y relanzar ventanas/páginas.
- Suele reflejarse en claves tipo:
- HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{GUID}
- Claves Run/RunOnce para ejecución al inicio:
- HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- En algunos casos, componentes que se relanzan automáticamente tras ser cerrados, manteniendo presión constante al usuario.
Hash real de referencia (SHA-256):
Code:
ead59834ce2d6dccb5fc35c8c3cd0e0a6f641fa6849e6d40c45d7e85bbf1b2bfMitigación con GetOverX Shield v3.0.2.0:
- Antivirus:
- Ejecutar Full Scan y eliminar/cuarenar el ejecutable principal y componentes asociados (incluyendo módulos de navegador).
- Recomendación práctica de rutas a priorizar (según el sistema/variante):
- %TEMP%, %APPDATA%, %LOCALAPPDATA%, ProgramData, y carpetas de “Archivos de programa” donde aparezcan binarios no firmados o con nombres sospechosos.
- Tras la limpieza, repetir un scan focalizado para confirmar que no quedaron instaladores secundarios o droppers.
- Firewall:
- Bloquear conexiones salientes de los procesos identificados como WinFixer/alias (si aún se ejecutan) para cortar:
- Redirecciones a sitios de “compra/activación”.
- Descarga de componentes adicionales.
- Si el equipo está en red corporativa, aplicar aislamiento temporal de salida (egress restrictivo) durante la limpieza si se observan redirecciones o descargas repetidas.
- HIPS/EDR:
- Vigilar y alertar ante señales típicas de scareware:
- Creación de BHO/Browser Helper Objects y modificaciones persistentes del Registro relacionadas al navegador.
- Escrituras repetitivas en Run/RunOnce y relanzamiento automático tras terminar el proceso.
- Procesos residentes que disparan ventanas emergentes y cambian configuración del navegador.
- Respuesta recomendada:
- Kill process de los binarios residentes (incluyendo procesos “notifier”/popups).
- Bloqueo por hash del binario detectado (y de instaladores relacionados, si aparecen).
- Registro del evento (proceso + cambios de Registro) para auditoría y hardening.
- Sandbox:
- Usar Sandbox para analizar:
- Instaladores sospechosos “codec”, “limpiadores”, “reparadores”, “antivirus gratis” y descargas desde pop-ups.
- Señales a observar:
- Intentos de crear BHO, modificaciones de Run/RunOnce, y conexiones salientes inmediatas tras abrir el navegador.
- Medidas posteriores al incidente:
- Restablecer navegador (si aplica) y remover complementos/extensiones no deseadas (especialmente en sistemas antiguos con IE).
- Revisar persistencia manualmente si el sistema es legacy:
- BHOs, Run/RunOnce, accesos directos alterados y proxies configurados.
- Verificar software instalado en la misma ventana temporal (bundling) y remover PUP/adware adicional.
- Considerar actualización/renovación del endpoint si se trata de un sistema antiguo expuesto (muchas infecciones WinFixer ocurrían por navegadores/plugins vulnerables).
Notas opcionales:
- WinFixer fue operado bajo un ecosistema de “rogue security software” con múltiples alias comerciales, y su infraestructura fue objeto de acciones legales/regulatorias (periodo 2006–2012 reportado en distintas fuentes).
- En reportes históricos se describe su integración con Internet Explorer y su difícil remoción por la cantidad de cambios en Registro y componentes persistentes.