Virus supuestamente enviado por Alexandra Rampolla
Un archivo malicioso es enviado a través de correo electrónico y es identificado como un troyano/backdoor conocido como Poison.awri.1
Supuesto Remitente: Alexandra Rampolla (info@hi5.com)
Remitente real: El correo es enviado desde el dominio o servidor de correo core2.hostingmadeeasy.com, incluso han usado una cuenta (mccormac@core2.hostingmadeeasy.com) de esta empresa para realizar el envió masivo de estos correos falsos.
El correo enviado es un correo falso que usa una imagen de la conocida sexóloga Alexandra Rampolla ofreciendo supuesto video con tips sexuales y escenas en vivo; la imagen está enlazada a la dirección:
hxxp://www.sailing-holiday-mallorca.com/realty/include/class/video-exclusivo/Tips_Sexuales.php
que al hacer clic invoca un supuesto archivo de video, que al verificar resulta ser un archivo ejecutable de 32 bits, Tips_Sexuales.AVI.exe que debido a que muchos usuarios en su configuración por defecto de Windows tienen oculto la extensión de los archivo, es así que fácilmente este archivo malicioso logra engañar al usuario haciéndose pasar como un video multimedia.
El virus al ser ejecutado -involuntariamente por el usuario- crea el siguiente archivo A0028457.exe en la computadora victima.
C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP109\A0028457.exe
A los usuarios una vez mas se le recomienda tener cuidado con los correos con supuestas promociones o provenientes de usuarios o contactos desconocidos, sobretodo desconfíen de los correos que tengan como remitentes del dominio hi5.com o el remitente info@hi5.com
Ademas, hemos comprabado que el troyano es reconocido por muchos antivirus pero lamentablemente Nod32 antivirus que tiene hoy por hoy muchos usuarios no reconocer el troyano. Pueden ver el analisis del archivo desde Virustotal.es
Seguiremos analizando este archivo.