viernes, enero 08, 2010
Albert López
Hace unos pocos días, iba a escribir un artículo sobre el cuidado en especial que se debe tener en ciertas épocas del año donde abunda todo tipo de malware que aprovechan la confianza de la gente para infectar ordenadores con fines propios.
Este es quizá el caso de las postales de navidad, ya se ha advertido en otras webs desde el mes de diciembre pero parece que los usuarios no acaban de estar informados y solo hacen que llegar alertas de las mismas falsas postales constantemente. El malware se distribuye mediante mensajes de correos fraudulentos donde se adjunta una postal, el usuario descarga la postal y cuando la ejecuta no pasa nada, al menos delante sus ojos.
Voy a exponer un ejemplo de una botnet en este caso, que utiliza un email como gancho para propagarse por todo el mundo mediante spam en las bandejas de entrada de correo de miles de personas. El adjunto se llama Postal.exe y cuando el usuario lo descarga y ejecuta pensando que puede ser una bonita postal su ordenador queda infectado por un gusano con las siguientes características:
- Crea dos entradas en el registro para auto-ejecutarse en el inicio:
Este es quizá el caso de las postales de navidad, ya se ha advertido en otras webs desde el mes de diciembre pero parece que los usuarios no acaban de estar informados y solo hacen que llegar alertas de las mismas falsas postales constantemente. El malware se distribuye mediante mensajes de correos fraudulentos donde se adjunta una postal, el usuario descarga la postal y cuando la ejecuta no pasa nada, al menos delante sus ojos.
Voy a exponer un ejemplo de una botnet en este caso, que utiliza un email como gancho para propagarse por todo el mundo mediante spam en las bandejas de entrada de correo de miles de personas. El adjunto se llama Postal.exe y cuando el usuario lo descarga y ejecuta pensando que puede ser una bonita postal su ordenador queda infectado por un gusano con las siguientes características:
- Crea dos entradas en el registro para auto-ejecutarse en el inicio:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win,dows\CurrentVersion\Run\MicrosoftNAPC c:\WINDOWS\system32\systems.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\MicrosoftCorp c:\WINDOWS\system32\systems.exe
- Guarda dos cópias en el ordenador infectado con los siguientes nombres:
- systems.exe
- nmn.exe
- Genera un falos sitio virtual del banco de Banamex para realizar ataques de phishing.
- Es totalmente una botnet que utiliza el puerto 6667 conectándose a un servidor del IRC para recibir órdenes y ser controlada.
- Se propaga mediante la siguiente vulnerabilidad: LSASS MS04-011-lsass que afécta a varios sistémas operativod.
Viendo por encima las características de una de las muestras de una Postal falsa, cabe tener en cuenta las precauciones pertinentes ya que un infiltrado de estos puede causar bastante daño y no solo al propio ordenador sino servidores de terceros. Es por eso que se recomienda tener un especial cuidado con temas de postales y felicitaciones de navidad y aunque las navidades ya casi están acabadas todavía en el mes de enero podrían seguir enviándose.
- Es totalmente una botnet que utiliza el puerto 6667 conectándose a un servidor del IRC para recibir órdenes y ser controlada.
- Se propaga mediante la siguiente vulnerabilidad: LSASS MS04-011-lsass que afécta a varios sistémas operativod.
Viendo por encima las características de una de las muestras de una Postal falsa, cabe tener en cuenta las precauciones pertinentes ya que un infiltrado de estos puede causar bastante daño y no solo al propio ordenador sino servidores de terceros. Es por eso que se recomienda tener un especial cuidado con temas de postales y felicitaciones de navidad y aunque las navidades ya casi están acabadas todavía en el mes de enero podrían seguir enviándose.
Posted in: Prevención
0 comentarios:
Publicar un comentario