|
VSantivirus No. 1926 Año 9, sábado 15 de octubre de 2005
Troyano se disfraza de mensaje de Antel
http://www.vsantivirus.com/15-10-05.htm
Por la noche del 14 de Octubre se comenzó a enviar masivamente por correo electrónico una versión del troyano Rbot como si fuera un mensaje proveniente de la conocida empresa uruguaya Antel.
Eset, proveedor global de protección antivirus de última generación, anunció hoy la aparición de un troyano que comenzó a ser enviado masivamente en un mensaje de correo electrónico.
El troyano es una variante de la familia Rbot, que al instalarse en una computadora abre una puerta trasera a través de la cual un atacante remoto puede realizar todo tipo de acciones en el equipo infectado.
Para darle credibilidad al mensaje en el que este troyano comenzó a ser enviado masivamente, los autores del mismo han utilizado el nombre de la estatal empresa de telecomunicaciones uruguaya Antel.
En el mensaje se invita al usuario a descargar un archivo que teóricamente es una herramienta para acelerar la conexión a Internet, cuando en realidad es el troyano en si mismo.
El remitente, falseado, del mensaje de correo electrónico es correo@adinet.com.uy, y su contenido es el siguiente:
-------- Original Message --------
Asunto:
Importante
Fecha: Sat, 15 Oct 2005 07:26:25 +0800 (CST)
De: AntelData <correo @ adinet.com.uy>
Responder a: AntelData <correo @ adinet.com.uy>
A: [destinatario]
Estimado usuario, este e-mail es para comunicarle que AntelData ha desarrolado un software para que usted pueda acelerar la velocidad de su conexión a Internet hasta un 30 % más de lo habitual.
Este software es válido para cualquier tipo conexión ya sea del servicio ADSL u otros.
Dicho software no requiere de ninguna instalación compleja ni requerimientos.
Puede descargarlo visitando www.antel.com.uy o simplenemte descargarlo desde el siguiente hipervínculo:
Descargar
[http:://????friends.us/a-installer.exe]
Por cualquier consulta escríbanos a correo@adinet.com.uy
Un cordial sauldo,
El servicio de AntelData.
|
El mensaje de correo electrónico no tiene archivo adjunto, y posee varios errores de ortografía. Esto último permite reconocer que realmente se trata de un envío falso. El archivo que se invita a descargar es el troyano en sí mismo.
El envío masivo del mensaje antes descrito parece haber apuntado específicamente a casillas con dominios de origen uruguayo. Sin embargo, no se debe descartar que la misma técnica sea utilizada con otra clase de mensajes y destinatarios.
NOD32, a través de su tecnología ThreatSense(c) fue capaz de detectar este troyano desde un primer momento, sin necesidad de una actualización, gracias a su Heurística Avanzada. Esto protegió a sus usuarios contra esta amenaza, impidiendo la descarga del mismo.
Video Soft, empresa creadora del sitio VSAntivirus, representa de forma exclusiva en Uruguay al antivirus NOD32 (marca registrada de Eset). Más información:
http://www.nod32.com.uy/
Consejos genéricos sobre phishing y otros engaños:
1. NUNCA haga clic en forma directa sobre NINGUN enlace en mensajes no solicitados. Mucho menos ingrese información de ningún tipo en formularios presentados en el mismo mensaje.
Si considera realmente necesario acceder a un sitio aludido en el mensaje, utilice enlaces conocidos (la página principal de dicho sitio, por ejemplo), o en último caso utilice cortar y pegar para "cortar" el enlace del texto y "pegarlo" en la barra de direcciones del navegador.
2. Desconfíe siempre de mensajes no solicitados en los que se le pide alguna clase de información, o se le invita a seguir un enlace. Cerciórese antes en los sitios principales, aún cuando el mensaje parezca "real". Toda vez que se requiera el ingreso de información confidencial, no lo haga sin estar absolutamente seguro.
3. Preste atención al hecho de que cualquier compañía responsable, le llevará a un servidor seguro para que ingrese allí sus datos, cuando estos involucran su privacidad. Una forma de corroborar esto, es observar si la dirección comienza con https: en lugar de solo http: (note la "s" al final). Un sitio con una URL https: es un sitio seguro. Pero recuerde que eso solo significa que las transferencias entre su computadora y el sitio serán encriptadas y protegidas, de ningún modo le asegura que el sitio es real.
Note que el servidor seguro, no necesariamente es al que usted ingresa cuando entra a un sitio como el de un banco. Pero si debe serlo en el momento en que ese sitio lo lleve a algún formulario para ingresar datos confidenciales.
Compruebe SIEMPRE, si al colocar el puntero del ratón sobre cualquier dirección indicada en un mensaje (sin hacer clic), el Outlook Express le muestra abajo la misma dirección.
4. Una vez en un sitio seguro, otro indicador es la presencia de un pequeño candado amarillo en el rincón inferior a su derecha. Un doble clic sobre el mismo debe mostrarle la información del certificado de Autoridad, la que debe coincidir con el nombre de la compañía en la que usted está a punto de ingresar sus datos, además de estar vigente y ser válido.
5. Si aún cumpliéndose las dos condiciones mencionadas, duda de la veracidad del formulario, no ingrese ninguna información, y consulte de inmediato con la institución de referencia, bien vía correo electrónico (si es una dirección que siempre usó), o mejor aún en forma telefónica.
De todos modos, recuerde que prácticamente es una norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente, o la descarga de archivos no solicitados.
|
Relacionados:
Rbot. Descripción genérica del gusano "Rbot"
http://www.vsantivirus.com/rbot.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|