Comisión de Seguridad

Se produce el segundo ataque a gran escala en castellano que intenta aprovecharse de la famosa vulnerabilidad WMF, este se produce por medio de la recepción de un correo electrónico que simula ser de enviado por la casa DELL y bajo apariencia de una compra realizada.

El asunto del mensaje es; Su orden #76453 a total de 739.00$ fue aceptado

Las webs trampa son;
http://advanced-customers-online.com/
http://dewars-quality.com/


Muchos internautas pueden ser infectado por un programa que intenta ejecutarse si la autorización del usuario.

ESTE ATAQUE DE PHISHING SE CONSIDERA MUY GRAVE.

15-02-2006 - El correo recibido es el siguiente;

----- Original Message -----
From: Dell Online Store
To: Mail



Sent: Wednesday, February 15, 2006
Subject: Su orden #76453 a total de 739.00$ fue aceptado


Le agradecemos a Ud una compra con nuestra empresa.

Su orden No76453 para Panasonic LT-J28 7.0 MP Digital Camera a total de 739.00$ fue aceptado.

Su carta bancaria se incluirá en aquel importe.

Le agradecemos su compra.

Ud puede comprobar su orden en sus Parametros del Usuario

Apriete aquí para ver su orden

Muy atentamente,
Dell Online Store

----- Mensaje final -----

Cuando presionamos sobre el enlace que contiene dicho correo nos envía a esta web; http://advanced-customers-online.com/

Esta web por medio de IFRAME nos descarga un fichero llamado; xpl.wmf
Si su equipo trabaja bajo sistemas operativos Microsoft y no esta actualizado con los últimos parches de seguridad nos ejecutara el fichero llamado xpl.wmf y este a su vez realiza una descarga de un fichero llamado 1.exe.

Desde la siguiente web;
dewars-quality.com/1.exe

que se ejecutara sin permiso del usuario de la maquina. Este programa es troyano que a su vez se descarga otro programa para controlar y robar datos del usuario.

dewars-quality.com/installer.exe

Luego se encuentra el fichero como U.exe


Ampliar imagen.


-IMPORTANTE como borrar el troyano-

El programa U.exe se ejecuta de la siguiente forma

En windows 2000;
Command Line: c:/winnt/system32/u.exe


En XP;
Command Line: c:/windows/system32/u.exe

Este hace una descarga de un fichero llamado; installer.exe

Tenemos que borrar estos tres ficheros;
U.exe (dentro del directorio system32 de windows) y tambien el installer.exe (c:/windows o c:/winnt) que es un troyano que roba claves del usuario, por ultimo borrar el fichero llamado msnscps.dll

Nos crea otro fichero llamado 1.bat en el raiz de nuestro dico duro pero se borra automaticamente.

La Asociación de Internautas alerto de un caso de phishing bancario que usaba esta técnica pero la entidad no era española y el peligro era bajo en nuestro país, pero en este caso el ataque se produce a todos los hispano parlantes y el peligro es considerado muy grave ya que hay millones de maquinas que aun no están actualizadas con el nuevo parche de seguridad.

Primer caso de phinhing denunciado por la Asociación de Internautas que usaba la vulnerabilidad WMF en castellano;
http://seguridad.internautas.org/html/1/649.html

Para no llevarnos ninguna sorpresa se recomienda tener actualizado nuestro sistema y parchear esta grave vulnerabilidad, mas información es:

http://seguridad.internautas.org/html/1/639.html

NO BAJEN LA GUARDIA YA QUE PUEDEN APARECER NUEVOS INTENTOS DE WEB TRAMPAS.