Archive for 30 octubre 2009

Virus: de Alessandra Rampolla

octubre 30, 2009

Virus supuestamente enviado por Alexandra Rampolla

 Un archivo malicioso es enviado a través de correo electrónico y es identificado como un troyano/backdoor conocido como Poison.awri.1 

Supuesto Remitente: Alexandra Rampolla (info@hi5.com)

 Remitente real: El correo es enviado desde el dominio o servidor de correo core2.hostingmadeeasy.com, incluso han usado una cuenta (mccormac@core2.hostingmadeeasy.com) de esta empresa para realizar el envió masivo de estos correos falsos.

 Virus Alexandra Rampolla

El correo enviado es un correo falso que usa una imagen de la conocida sexóloga Alexandra Rampolla ofreciendo supuesto video con tips sexuales y escenas en vivo; la imagen está enlazada a la dirección:

 hxxp://www.sailing-holiday-mallorca.com/realty/include/class/video-exclusivo/Tips_Sexuales.php

 que al hacer clic invoca un supuesto archivo de video, que al verificar resulta ser un archivo ejecutable de 32 bits, Tips_Sexuales.AVI.exe que debido a que muchos usuarios en su configuración por defecto de Windows tienen oculto la extensión de los archivo, es así que fácilmente este archivo malicioso logra engañar al usuario haciéndose pasar como un video multimedia.

 El virus al ser ejecutado -involuntariamente por el usuario- crea el siguiente archivo A0028457.exe en la computadora victima.

 C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP109\A0028457.exe

 A los usuarios una vez mas se le recomienda tener cuidado con los correos con supuestas promociones o provenientes de usuarios o contactos desconocidos, sobretodo desconfíen de los correos que tengan como remitentes del dominio hi5.com o el remitente info@hi5.com

Ademas, hemos comprabado que el troyano es reconocido por muchos antivirus pero lamentablemente Nod32 antivirus que tiene hoy por hoy muchos usuarios no reconocer el troyano. Pueden ver el analisis del archivo desde Virustotal.es

Seguiremos analizando este archivo.

Virus Paolo Guerrero

octubre 6, 2009

El archivo malicioso es enviado a través de correo electrónico y usa una variante del troyano Dropper para esconder un archivo ejecutable.

Es un correo falso que usa una imagen de la pagina de la conductora Magaly TV y unas supuestas imágenes del futbolista con escenas sexuales, a esta enlazada a una dirección Web.

 

Virus Paolo Guerrero

Virus Paolo Guerrero

La dirección Web conteniendo el virus pueden ser una de las siguiente:

 hxxp://www.vanitininfo.com/videos/magaly/video.php
hxxp://ridelats.com/media/videos/magaly/video.php

Si el usuario hace clic sobre la imagen obtendrá una ventana de dialogo que le indica que puedes descargar o ejecutar un archivo con el nombre Paolo_Guerrero.mp4.exe

El Malware se introduce en el equipo de la victima, modifica el archivo HOST, crea un servidor web en el equipo local y direacciona los accesos a las pagibas de BCP, Scotiabank y BBVA a paginas clonadas para robar las contraseñas.

Información adicional: http://www.scribd.com/doc/22477077