MAIL MUY PELIGROSO que está llegando a nuestros clientes (y demas usuarios, claro) - Y QUE CAUSA ADEMAS EL TIPICO DOBLE ACENTO RESIDUAL -

---

A traves de mail llega uno similar a este:



__________





De: Banco de Espana

Enviado el: miércoles, 16 de junio de 2010 7:15

Para: <destinatario>

Asunto: Transferencia de 723.61 euros.





Estimado cliente, en su cuenta ha ingresado una transferencia de 723.61 euros. Remitente: Doncia Sedillo. ID de transacción: ES000372280554393. Siga el ENLACE para consultar la información.



Atentamente, su Banco de España.



____________





Y en ENLACE hay un link con acceso a una web que redirige a otra rusa,



psdrv.ru : RU Russian Federation 48 Moscow City Moscow 55.7522 37.6156



la cual el Site Advisor de McAfee detecta como maliciosa:



psdrv.ru podría intentar robar su información personal.

¿Por qué se le ha redirigido a esta página?



Cuando visitamos este sitio, descubrimos que puede estar diseñado para engañarle y que envíe información personal o financiera a piratas informáticos en línea. Esta es una amenaza de seguridad grave que puede dar lugar a suplantación de identidad, pérdidas financieras o un uso no autorizado de su información personal.





y solicitando mas informacion, indica:





___________



Clasificación: Software publicitario, software espía o virus





This is a new scam site that is probably controlled by a criminal botnet that spreads spyware and runs phishing scams. Watch out for spyware (reportedly, a Zbot trojan) in the file tax-statement.exe or tax-statement-taxpayer_id_.exe in a spoof of the IRS.gov site.



The scam site currently traces to multiple IP addresses located around the world; this may be typical when the botnet has "infected" many people's computers and controls the DNS provider(s). Its domain is registered through "NAUNET-REG-RIPN" (naunet.ru); its DNS providers are listed as

ns1.growth-property.net (IP 173.212.254.194)

ns2.growth-property.net (IP 195.21.131.11)

ns1.pointstory.net (IP 173.212.254.194)

ns2.pointstory.net (IP 73.51.151.58)



Watch out for phishing scams and other malware on this site.



Thanks to phishtank.com and its contributors for catching this. For a safe-to-view screenshot of the scam, see



http://screenshots.phishtank.com/phish_screenshots/1/0/1003091.gif



Cross-reference: other sites that seem to be participating in this scam include msdll.ru and pdll.ru

______________





Es muy típico que a través de simular envios de transferencias ofrezcan pulsar en un link que redirige a una web que conduce a otra, para dificultar la detección y control del destino, y por ello recomendamos el uso del SiteAdvisor de McAfee (http://www.siteadvisor.com) que mediante una base de datos al respecto, controla en lo posible los accesos a sites indeseables, como es el caso.



Aparte se recuerda una vez mas lo peligroso de abrir ficheros anexados a mails no solicitados, o pulsar en links o en imagenes de dichos mails, y tener presente que un 85 % de lkos mails que circulan por internet son maliciosos, y que equivalen a mas de 100.000 millones de mails diarios !!!



saludos



ms, 17-6-2010







ANEXO:



En los ordenadores en los que se ha ejecutado dicho link se crea una clave de registro que lanza un malware



A partir del ELISTARA de hoy pediremos muestra de los ficheros lanzados en claves que carguen aplicaciones con dicha configuración, que se ubican en carpeta variable y con nombre de fichero variable y hasta ahora no sabiamos lo que las generaba, y probablemente sea por ejecutar el link de dichos mails, y seguramente el usuario en cuestion ahora le salgan dos acentos (l''apiz) cuando quiere acentuar escribiendo en el word o en el notepad. Tras añadir .VIR a la extensión de dicho fichero y reiniciar, esperamos desaparecerá el problema.



Igualmente tras lanzar el ELISTARA 21.18 de hoy, ejecutandolo desde el usuario habitual, se moverá dicho fichero a C:\muestras, pidiendo que se nos envie para controlarlo, y tras reiniciar ya quedará solucionado lo del doble acento, si es el caso.



ms.