MAIL MUY PELIGROSO que está llegando a nuestros clientes (y demas usuarios, claro) - Y QUE CAUSA ADEMAS EL TIPICO DOBLE ACENTO RESIDUAL -

---

A traves de mail llega uno similar a este:

__________


De: Banco de Espana
Enviado el: miércoles, 16 de junio de 2010 7:15
Para: <destinatario>
Asunto: Transferencia de 723.61 euros.


Estimado cliente, en su cuenta ha ingresado una transferencia de 723.61 euros. Remitente: Doncia Sedillo. ID de transacción: ES000372280554393. Siga el ENLACE para consultar la información.

Atentamente, su Banco de España.

____________


Y en ENLACE hay un link con acceso a una web que redirige a otra rusa,

psdrv.ru : RU Russian Federation 48 Moscow City Moscow 55.7522 37.6156

la cual el Site Advisor de McAfee detecta como maliciosa:

psdrv.ru podría intentar robar su información personal.
¿Por qué se le ha redirigido a esta página?

Cuando visitamos este sitio, descubrimos que puede estar diseñado para engañarle y que envíe información personal o financiera a piratas informáticos en línea. Esta es una amenaza de seguridad grave que puede dar lugar a suplantación de identidad, pérdidas financieras o un uso no autorizado de su información personal.


y solicitando mas informacion, indica:


___________

Clasificación: Software publicitario, software espía o virus


This is a new scam site that is probably controlled by a criminal botnet that spreads spyware and runs phishing scams. Watch out for spyware (reportedly, a Zbot trojan) in the file tax-statement.exe or tax-statement-taxpayer_id_.exe in a spoof of the IRS.gov site.

The scam site currently traces to multiple IP addresses located around the world; this may be typical when the botnet has "infected" many people's computers and controls the DNS provider(s). Its domain is registered through "NAUNET-REG-RIPN" (naunet.ru); its DNS providers are listed as
ns1.growth-property.net (IP 173.212.254.194)
ns2.growth-property.net (IP 195.21.131.11)
ns1.pointstory.net (IP 173.212.254.194)
ns2.pointstory.net (IP 73.51.151.58)

Watch out for phishing scams and other malware on this site.

Thanks to phishtank.com and its contributors for catching this. For a safe-to-view screenshot of the scam, see

http://screenshots.phishtank.com/phish_ ... 003091.gif

Cross-reference: other sites that seem to be participating in this scam include msdll.ru and pdll.ru
______________


Es muy típico que a través de simular envios de transferencias ofrezcan pulsar en un link que redirige a una web que conduce a otra, para dificultar la detección y control del destino, y por ello recomendamos el uso del SiteAdvisor de McAfee (http://www.siteadvisor.com) que mediante una base de datos al respecto, controla en lo posible los accesos a sites indeseables, como es el caso.

Aparte se recuerda una vez mas lo peligroso de abrir ficheros anexados a mails no solicitados, o pulsar en links o en imagenes de dichos mails, y tener presente que un 85 % de lkos mails que circulan por internet son maliciosos, y que equivalen a mas de 100.000 millones de mails diarios !!!

saludos

ms, 17-6-2010



ANEXO:

En los ordenadores en los que se ha ejecutado dicho link se crea una clave de registro que lanza un malware

A partir del ElistarA de hoy pediremos muestra de los ficheros lanzados en claves que carguen aplicaciones con dicha configuración, que se ubican en carpeta variable y con nombre de fichero variable y hasta ahora no sabiamos lo que las generaba, y probablemente sea por ejecutar el link de dichos mails, y seguramente el usuario en cuestion ahora le salgan dos acentos (l''apiz) cuando quiere acentuar escribiendo en el word o en el notepad. Tras añadir .VIR a la extensión de dicho fichero y reiniciar, esperamos desaparecerá el problema.

Igualmente tras lanzar el ElistarA 21.18 de hoy, ejecutandolo desde el usuario habitual, se moverá dicho fichero a C:\muestras, pidiendo que se nos envie para controlarlo, y tras reiniciar ya quedará solucionado lo del doble acento, si es el caso.

ms.