 |
||
Spam con supuesto enlace al youtube para ver "Michael.Jackson.videos.scr" pero redirigido a otra WEB mientras descargamsc hotline sat Monday, June 29, 2009 McAfee nos avisa de la propagacion masiva de un malware a traves de ingenieria social, aprovechando la notoriedad del fallecimiento de Michael Jackson, a traves de http://isc.sans.org/diary.html?storyid=6658&rss El truco es ofrecer descargar el video "Michael.Jackson.videos.scr", el cual instala el downloader de marras: http://isc.sans.org/diary.html?storyid=6658 Vemos mas informacion al respecto en http://www.tucumanoticias.com.ar/noticia.asp?id=29802 : Los técnicos ya encontraron correos electrónicos "spam" que ofrecen a los destinatarios enlaces a videos y fotografías no publicadas del cantante Michael Jackson. La muerte de Michael Jackson fue confirmada el jueves ppdo. Pero ya es utilizada como excusa. 
El correo electrónico spam parece ofrecer un enlace a un video en YouTube, pero en cambio envía al destinatario un Trojan Downloader hospedado en un sitio Web de riesgo. El archivo que se ofrece se llama Michael.Jackson.videos.scr. Este archivo está ubicado en un sitio Web legítimo hospedado en Australia que pertenece a una estación de radio. Con la ejecución del archivo, el explorador predeterminado abre un sitio Web legítimo en http://musica.uol.com.br/ultnot/2009/06/25/michael-jackson.jhtm que tiene como objetivo distraer al usuario con la presentación de artículos noticiosos para leer. Mientras tanto, el malware descarga e instala tres componentes más de robo de información. Uno de los archivos descargados se llama michael.gif, el cual tiene tasas bajas de detección AV. El malware entonces instala un BHO malicioso que está registrado con este archivo. El analisis de VirusTotal sobre el fichero malware nos ofrece este informe: File Michael.Jackson_videos_fotos.php. received on 2009.06.26 21:03:30 (UTC) Current status: finished Result: 13/41 (31.71%) Compact Print results Antivirus Version Last Update Result a-squared 4.5.0.18 2009.06.26 Trojan-Downloader.Win32.Adload!IK AhnLab-V3 5.0.0.2 2009.06.26 - AntiVir 7.9.0.199 2009.06.26 TR/Crypt.CFI.Gen Antiy-AVL 2.0.3.1 2009.06.26 - Authentium 5.1.2.4 2009.06.26 - Avast 4.8.1335.0 2009.06.26 - AVG 8.5.0.339 2009.06.26 Downloader.Banload.AMID BitDefender 7.2 2009.06.26 Gen:Trojan.Heur.1024DBFEBF CAT-QuickHeal 10.00 2009.06.26 - ClamAV 0.94.1 2009.06.26 - Comodo 1441 2009.06.26 - DrWeb 5.0.0.12182 2009.06.26 - eSafe 7.0.17.0 2009.06.25 - eTrust-Vet 31.6.6582 2009.06.26 - F-Prot 4.4.4.56 2009.06.26 - F-Secure 8.0.14470.0 2009.06.26 - Fortinet 3.117.0.0 2009.06.26 - GData 19 2009.06.26 Gen:Trojan.Heur.1024DBFEBF Ikarus T3.1.1.64.0 2009.06.26 Trojan-Downloader.Win32.Adload Jiangmin 11.0.706 2009.06.26 - K7AntiVirus 7.10.768 2009.06.19 - Kaspersky 7.0.0.125 2009.06.26 - McAfee 5658 2009.06.26 - McAfee+Artemis 5658 2009.06.26 Artemis!664CB28EF710 McAfee-GW-Edition 6.7.6 2009.06.26 Trojan.Crypt.CFI.Gen Microsoft 1.4803 2009.06.26 TrojanDownloader:Win32/VB.LI NOD32 4193 2009.06.26 probably unknown NewHeur_PE Norman 6.01.09 2009.06.26 - nProtect 2009.1.8.0 2009.06.26 Trojan-Downloader/W32.Agent.28672.IT Panda 10.0.0.16 2009.06.26 - PCTools 4.4.2.0 2009.06.26 - Prevx 3.0 2009.06.26 - Rising 21.35.44.00 2009.06.26 - Sophos 4.43.0 2009.06.26 Troj/Dloadr-CPD Sunbelt 3.2.1858.2 2009.06.25 - Symantec 1.4.4.12 2009.06.26 Downloader TheHacker 6.3.4.3.355 2009.06.26 - TrendMicro 8.950.0.1094 2009.06.26 - VBA32 3.12.10.7 2009.06.26 - ViRobot 2009.6.26.1806 2009.06.26 - VirusBuster 4.6.5.0 2009.06.26 - Additional information File size: 28672 bytes MD5 : 664cb28ef710e35dc5b7539eb633abca SHA1 : 7b9ba0e08e59a798ceb555dbabb4a91f19952629 ______ Complementamos esta informacion con la que vemos en alvne.wordpress.com : Los Creadores de Virus Aprovechan la Muerte de Michael Jakson Posted on Junio 28, 2009 by alvne Se trata de spam (Correos electrónicos maliciosos o basura) que contiene un enlace hacia un aparente video en YouTube prometiendole al destinatario un video que jamás ha sido visto por nadie respecto a su muerte, el usuario al hacer click en el enlace es redireccionado a un sitio web con código malicioso que instala una serie de componentes de un virus. El archivo ofrecido se llama Michael.Jackson.videos.scr (MD5: 664cb28ef710e35dc5b7539eb633abca). y se encuentra en un sitio legítimo en un servidor de Australia perteneciente a una estación de radio, al ejecutar el archivo este abre el navegador web predeterminado y lo redirecciona al sitio http://musica.uol.com.br/ultnot/2009/06/25/michael-jackson.jhtm cuyo objetivo es distraer al usuario con material de lectura sobre el cantante mientras se ejecuta el código malicioso. Uno de los archivos descargados se llama michael.gif, el cual tiene tasas bajas de detección AV. El malware entonces instala un BHO malicioso que está registrado con este archivo %windir%/Dynamic.dll y este GUID {FCADDC14-BD46-408A-9842-CDBE1C6D37EB}. Otro componente está destinado a iniciar en %windir%\system32\kproces.exe. Otro archivo malicioso instalado por el malware es %windir%\system32\fotos.exe. http://alvne.wordpress.com/2009/06/28/virus-michael-jackson/ Al menos estemos avisados y precavidos... saludos ms, 29-6-2009 |
 RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com
|