Yet Another Cleaner (YAC) - Otro Limpiador, otro ladrón

[tortex]

Recientemente, hemos descubierto que un producto relativamente popular "Anti-Malware", conocido como "Yet Another Cleaner" o YAC, ha estado reclamando ser un afiliado de Malwarebytes además de utilizar una gran cantidad de nuestros nombres de detección como propios. Se miró más profundamente en su funcionamiento y encontramos algunas cosas bastante sorprendentes y feas.

El bueno

"Yet Another Cleaner" es propiedad de Elex do Brasil Participações Ltda Technology Inc. Están ubicados en Brasil y tienen una amplia gama de productos que incluye un test de velocidad, reloj despertador, búsqueda de IP y por supuesto, YAC.

YAC es un programa de aspecto bastante elegante y muy rápido también. Parece que tiene la capacidad de proteger a los usuarios de los sitios web maliciosos, limpieza de archivos basura en sus sistemas, desinstalar aplicaciones e incluso bloquear anuncios!

Lo Malo

La realidad es que YAC puede realizar todas las cosas mencionadas arriba, cómo el producto se comporta en realidad es una pregunta abierta. De todos modos, tenemos información que Elex do Brasil Participações Ltda Technology Inc., es una empresa filial de Malwarebytes, ya que sugieren una afiliación en sus Condiciones de Uso.

Para ser claros, Malwarebytes no es de ninguna manera afiliado de Elex. ¿Cree usted que Kaspersky, BitDefender, Avast, PCTools, iS3, Enigma Software, SUPERAntiSpyware y SurfRight también son afiliados?

Así que, después de descubrir algo de información interesante, decidimos buscar que estan utilizando en el software Anti-Malware.

El Feo

Mirando a YAC lo primero que se nota son las similitudes entre su interfaz de usuario y la nuestra y posiblemente incluso otras herramientas de proveedores de seguridad.

Por supuesto, esto no es necesariamente algo malo, a veces los desarrolladores consiguen inspirarse por otros productos, aunque nos llevan a mirar más profundamente. Decidimos hacer el registro de sus nombres de detección.

En este punto empezamos a ver más similitudes, un poco más de lo normal. Se realizaron búsquedas en el mismo grupo de archivos entre Malwarebytes Anti-Malware (MBAM) y YAC para ver que metimos y qué nombres se utilizaron.

Spoiler:

De buenas a primeras, sabíamos que YAC sólo detecta una parte de los archivos que MBAM habia hecho con algunas diferencias significativas. Se decidio buscar con detecciones individuales.

Así que la primera que vimos fue el uso de "Agent" como en "Trojan.Agent." Esto no es un gran problema porque es un nombre muy común a utilizar en lugar del nombre real del malware, cuando usted sabe que el archivo es malicioso, pero no esta seguro de la familia exacta a la que pertenece a esa fecha.

El siguiente es "ClickBot", otro nombre que no es utilizado por todos, pero es utilizado por bastantes vendedores para hacer que se destaque un poco más.

Por último, "FakeMS" fue descubierto y empezamos a sospechar. El término no pertenecen a Malwarebytes pero rara vez lo hace otro producto similar. Obviamente, esto no es ningún tipo de pruebas concluyentes en cuanto a robo, pero teníamos algunas ideas sobre la manera de mirar más profundamente.

El primer chequeo fue a través de un método de detección oculto que usamos para encontrar aplicaciones que roban nuestra base de datos de definición y lo utilizan como propio. Hemos creado una clave de registro especial que no está afiliado a ningún proceso malintencionados y cuando lo marca, sabemos que nuestra propiedad ha sido robada. La clave es:

HKLM\Software\ANV7845SFT

NOTA: Tenemos muchas otras maneras de identificar a nuestras bases de datos en uso por otros productos.

Hemos creado la clave trampa y en un escaneo encontramos la clave de Registro Especial:

Para dar a estos chicos el beneficio de la duda, vamos a mirar más profundamente mediante la creación de una nueva detección de malware falso. Construimos un programa personalizado que no hace más que mostrar un cuadro de mensaje. Este:

Luego hicimos una detección para este archivo falso, lo nombramos con algo único e incluso con palabras mal escritas: "Spywera” & “Theiving". Usted puede revisar el archivo por sí mismo, lo subimos a VirusTotal.

Esta nueva detección se hizo a las 4 pm del 1 de marzo de 2015. Unas dos horas más tarde, YAC tenía una actualización disponible.

Mediante su definición más reciente de su actualización de base de datos, realizamos un análisis con respecto a nuestro falso cuadro de mensaje del malware, para descubrir que no sólo detecta nuestro falso malware sino también el uso de la misma, poco profesional.

Muy bien, por lo que parece ser otro limpiador esta robando nuestra base de datos de detección y modificándola por sus propios medios. Con base en el hecho de que sólo detectan una porción muy pequeña de las toneladas de malware que teníamos en nuestras bases de datos, su escáner al parecer utiliza una versión reducida de la utilizada por Malwarebytes Anti-Malware.

La razón de que esto es una cosa muy importante es porque junto con nuestro motor, nuestra interfaz, el nombre de nuestra marca y nuestros esfuerzos individuales, nuestra definición de la base de datos fue creado en la casa y que ya se ofrece de forma gratuita al mundo en forma de Malwarebytes Anti -Malware Free & Premium. Es un insulto no sólo a Malwarebytes, sino también a los clientes de robar el trabajo de alguien y esa gente cobra por una mala imitación de un producto que ya es libre.

Con pruebas en la mano, hemos enviado a Elex do Brasil Participações Ltda Technology Inc. una carta de nuestro departamento legal de cerrar su uso de los bienes robados. Los mantendremos informados sobre cualquier novedad.

Fuente

[baduser]

es un gusanote ese YAC, odioso y latoso, siempre se instala de forma engañosa y oculta y no sirve para nada, cuidado con este software que puede secuestrar sus maquinas y muchas cosas mas.

[redeyegt]

Esa basura me a tocado que quitarla de un sin fin de equipos, se podría considerar incluso como virus por todas las cosas a escondidas que hace.

[Francisco6812]

Gracias por la información

[josner]

[XKeithful]

Parece que soy el único que no conocía el YAC (en que planeta vivo ....) por eso yo no cambio el Malwarebytes, con programas de protección siempre prefiero lo conocido.

Gracias por la información...

[carmen10]

[redeyegt]

Iniciado por XKeithful Parece que soy el único que no conocía el YAC (en que planeta vivo ....) por eso yo no cambio el Malwarebytes, con programas de protección siempre prefiero lo conocido. Gracias por la información...

Lo que pasa es que no has caido en los engaños de la red, en mi caso lo conoci gracias a mis clientes que siempre andan instalando cualquier babosada que les sale.

[chexus]

Elaborada información amigo Tortex, Gracias por compartirla...

[VJEVans]

exelente informacion .. ya sabia que YAC era una farza ..