Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Spam con gusano que cambia cada 30 minutos
 
VSantivirus No 2526 Año 11, miércoles 22 de agosto de 2007

Spam con gusano que cambia cada 30 minutos
http://www.vsantivirus.com/21-08-07.htm

Por Angela Ruiz
angela@videosoft.net.uy

Un nuevo "cambio de cara" para los Win32/Nuwar, llena de basura los correos de usuarios de todo el mundo.

No debería sorprendernos, pero ciertamente a pesar de ello, no deja de ser una gran molestia.

Sean tarjetas virtuales, o invitaciones a lugares exclusivos, los usuarios de Internet deben seguir sufriendo la llegada masiva de correo basura con enlaces a sitios maliciosos que descargan una nueva versión del gusano que ESET NOD32 detecta como Win32/Nuwar.gen, y que tiene la particularidad de cambiar cada 30 minutos, en un intento de eludir la detección de los antivirus.

Win32/Nuwar.gen también es conocido como Nuwar, Zhelatin, Storm o Peacomm entre otros nombres.

Los mensajes invitan al destinatario a confirmar su suscripción a un determinado servicio o "club" (con temas que van desde el póquer a la música en MP3, pasando por el buen vino), brindando un usuario y contraseña provisorios, para que la víctima pueda darse de alta, luego de hacer clic en el enlace respectivo.

Este enlace, como en anteriores versiones del Nuwar, solo muestra direcciones IP -todas diferentes-, y no nombres de dominios.

Si se hace clic allí, un simple mensaje en la página solicitará un applet para poder ingresar de forma segura:

If you do not see the Secure Login Window
please install our Secure Login Applet.

Si el usuario lo acepta y hace clic, se descarga el gusano propiamente dicho, cuyo ejecutable por ahora parece llamarse APPLET.EXE

También se intenta infectar al usuario por la simple visualización de la anterior página. Para ello busca explotar una antigua vulnerabilidad en Winamp.

Tenga en cuenta que esta alerta tiene como idea recordarle los peligros de seguir enlaces o abrir adjuntos de mensajes no solicitados, sin importar su procedencia. Es muy posible que en los próximos días, otros "lavados de cara" y un nuevo maquillaje, nos presente nuevas variantes de este molesto spam, que además nos trae de regalo un gusano.

Algunos de los falsos remitentes detectados:

Bartenders Guide
Cat Lovers
Dog Lovers
Downloader Heaven
Free Ringtones
Free Web Tools
Funny-Files
Joke-A-Day
Membership Support
Mobile Fun
MP3 World
Net-Jokes
Office Antics
Poker World
Resume Hunters
Ringtone Heaven
Ringtone World
Tech Department
Web Connects
Web Players
WebTunes
Wine Lovers

Algunos de los asuntos utilizados:

Dated Confirmation
Internet Techincal Support
Login Verification
Member Details
Membership Support
New Member Confirmation
Please Confirm
Registration Confirmation
Registration Details
Technical Support
Thank You For Joining
User Info
User Services
Welcome Letter
Welcome New Member
Your Member Info

El texto del mensaje varía de acuerdo al remitente y asunto utilizado. Un ejemplo:

Greetings,

Here is your membership info for Free Ringtones.

Membership Number: 915879295
Your Temp. Login ID: user6898
Temp Password ID: jt794

Be Secure. Change your Login ID and Password.

Follow this link, or paste it in your browser: [enlace]

Enjoy,
Support Department
Free Ringtones


Actualización 22/08/07:


Una nueva variante en formato HTML, ofusca las direcciones IP en el mensaje, y en su lugar coloca un enlace con el nombre del supuesto remitente.

Además, muestra en la página el siguiente mensaje:

Your Download Should Begin Shortly. If your download does not start in approximately 15 seconds, you can click here to launch the download.

Cuando se hace clic en "click here", se descarga el gusano (Win32/Nuwar) con el nombre de ECARD.EXE


Actualización 27/08/07:

Otra variante en formato HTML simula enlaces a videos de YouTube.

Cuando se visita la página, el siguiente texto es mostrado:

Your Download Should Begin Shortly. If your download does not start in approximately 15 seconds, you can click here to launch the download and then press Run.

Cuando se hace clic en "click here", se descarga el gusano (Win32/Nuwar) con el nombre de VIDEO.EXE

Algunos de los asuntos enviados en los nuevos mensajes:

Dude dont send that stuff to my home email...
how did you get that on film, man?
LOL, dude what are you doing
where did you hide that camera?

Algunos de los textos:

If your dad see this video you made, he is gonna kill you. here is the link I got http: // www. youtube. com/[...]

What are you thinking...if pat sees this your divorced dude. :-{) see for yourself...
http: // www. youtube. com/[...]

If your dad see this video you made, he is gonna kill you. this is the link to it.
http: // www. youtube. com/[...]

OMG, what are you doing man. This video of you is all over the net. check it out yourself
http: // www. youtube. com/[...]


Relacionados:

Nueva tormenta de spam con enlaces a troyanos
http://www.vsantivirus.com/29-06-07.htm




[Última modificación: 28/08/07 03:04 -0200]




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS