La familia de adware Vonteera ha existido desde hace tiempo, pero ahora ha comenzado a cruzar la línea de lo no deseado, de software potencialmente malicioso a malware en su totalidad.

De a cuerdo a investigadores de Malwarebytes, el adware tiene un nuevo truco en la manga: añade 13 certificados a la lista de "certificados no confiables", todos ellos pertenecen a compañías que desarrollan antivirus y software de seguridad populares, como Avast, AVG, Baidu, Bitdefender, Malwarebytes, Trend Micro y otros:

La lista es utilizada por el Control de Cuentas de Usuarios de Windows (UAC) para mantener fuera software que no es de confianza.

"El efecto de esto es potencialmente devastador, ya que el sistema se negará a ejecutar todas las aplicaciones firmadas con estos certificados", explicó el investigador Pieter Arntz de Malwarebytes.

Esto significa que un usuario afectado tendrá problemas para limpiar su sistema contra el malware, aunque sólo sucederá si Vonteera ha logrado infectar un sistema sin activar el software antivirus, lo que significa que el usuario no utiliza protección o que no es buena.

Entonces, ¿qué pueden hacer los usuarios para deshacerse de él- Una opción es entrar en "Certificate Manager" y eliminar el certificado en cuestión, después se deberá descargar un antivirus.

"Asegúrese de comprobar nuevamente los certificados una vez eliminado adware, ya que podría haber sido reinstalado en el intervalo de tiempo de la operación", aconsejó Arntz.

Otra opción es desactivar temporalmente el Control de Cuentas de Usuario (UAC), para que el antivirus pueda descargar lo necesario, o utilizar Task Scheduler para eludir ducho control.

Otra cosa interesante sobre el adware Vonteera es que, aparte de hacer el daño habitual, crea tareas para mostrar anuncios a los usuarios de forma regular y altera los atajos del navegador, por lo que el navegador abre páginas específicas, algo muy problemático para los usuarios de Chrome.

"Para Chrome, [Vonteera] tiene un trato especial ya que permite Politicas\Chromium\ExtensionInstallForcelist; cito: 'Especifica una lista de aplicaciones y extensiones que se instalan en silencio, sin la interacción del usuario y que no puede desinstalar el usuario. Todos los permisos solicitados por las aplicaciones/extensiones se otorgan de manera implícita, sin interacción del usuario, incluyendo cualquier permiso adicional solicitado por versiones futuras de la aplicación/extensión'. Eso no es algo que yo pudiera conceder a cualquier aplicación o extensión, aunque confiara en ella, ya que abre demasiados posibles vectores de ataque", señaló Arntz.