Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Troyano disfrazado de reproductor de Macromedia Flash
 
VSantivirus No 2599 Año 11, viernes 28 de diciembre de 2007

Troyano disfrazado de reproductor de Macromedia Flash
http://www.vsantivirus.com/28-12-07.htm

Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy

Un mensaje que simula provenir de Hotmail, y que advierte sobre el cierre de la cuenta por razones de spam, descarga un falso reproductor de Macromedia Flash, el cuál instala un troyano en el equipo de la víctima.

El mensaje, un típico spam con un tema muy utilizado por antiguos hoaxes (el cierre de la cuenta de Hotmail), parece provenir de Microsoft, y muestra el siguiente texto en portugués:
--- Comienzo del falso mensaje ---

Asunto: Prezado usuário houve problemas em sua conta do hotmail.

Atenção Usuario:

Sua conta será excluida em 2 dias por motivos de spam. Foi constatado em nossos banco de dados que sua conta esta enviando spam em massa para outros usuários da sua lista de contatos Hotmail. Para que sua conta não seja excluída do nosso sistema, clique no link abaixo:

para baixar a ferramenta de segurança do Hotmail:

http: //www. hotmail. com/problems/RP?c=???2970687388433803&hl=pt_BR

Instale a ferramenta de segurança, atualize seus dados e siga as instruções no SAC.

Em caso de duvidas ou preocupações em relação a sua conta, visite as Perguntas freqüentes (FAQs) do Hotmail no endereço:

https: //accountservices. passport. net/help/faq_accounts.html

Seu prazo para regularização é de 24 horas.

Atenciosamente,

Equipe de Tecnologia e Desenvolvimento Hotmail

© 2007 Microsoft TERMOS DE USO Declaração de Privacidade POLÍTICA ANTI-SPAM DA MICROSOFT

suporte @ passport. com


--- Final del falso mensaje ---

Los enlaces llevan a una dirección diferente a la que muestra el mensaje (siempre que se visualice el mismo en formato HTML):

http: //www. macromediaflashplayer????. ???. net/

Si el usuario accede a dicha página, un mensaje solicitándole la descarga de la última versión de Flash Player le es mostrada:

ULTIMA VERSÃO DO MACROMEDIA FLASH PLAYER NÃO
ENCONTRADO. POR FAVOR, FAÇA O DOWNLOAD E INSTALE.

Cuando ello ocurre, se descarga automáticamente un supuesto reproductor, desde un sitio en Hungría:

http: //www. pannoncom?????. hu/MacromediaFlashPlayer.exe

Al mismo tiempo, una página con el siguiente texto, puede ser visualizada:

Você não possui a última versão Macromedia Flash Player.
Este site requer o uso do software Macromedia®FlashTM .
Você possui uma versão antiga do Macromedia Flash Player
que não pode exibir o conteúdo desta página.

Porque não fazer o download e instalar a última versão?
É rápido e fácil.

Macromedia and Flash are trademarks of Macromedia,Inc.

Si la descarga culmina y el archivo es ejecutado, un falso error es mostrado al usuario:

sample_1
Arquivo corrompido
[   OK   ]

En realidad, ya se está ejecutando el troyano descargado, el cuál a su vez descarga y ejecuta dos nuevos componentes desde los siguientes sitios de Internet:

http: //www.pannoncom?????. hu/novo.exe
http: //macromediaflashplayer. krovat??. ??/listrox.exe

Los archivos descargados, son copiados en el directorio de Windows con los siguientes nombres, y luego ejecutados:

c:\windows\xp1.exe
c:\windows\xp2.exe

Ambos son variantes modificadas de la familia de troyanos tipo "Banker", los cuáles roban información de páginas relacionadas con la banca electrónica en línea de determinadas instituciones financieras, cada vez que el usuario ingresa en las mismas.

Los troyanos pueden capturar la información ingresada por la víctima en esos sitios, y enviarla a un atacante remoto.

Ambos utilizan ciertas técnicas para impedir ser localizados fácilmente.

Los archivos y sitios mencionados, continuaban activos al momento de este reporte.

Esto nos debe recordar una vez más, lo importante que es no abrir adjuntos no solicitados, ni seguir enlaces de mensajes que no hemos pedido, sin importar su procedencia.

Los engaños utilizados para llevar al usuario a ejecutar un malware en su PC, pueden ser infinitos.


Relacionados:

Troyano simula ser actualización de antivirus
http://www.vsantivirus.com/09-11-07.htm

Troyano simula ser actualización crítica de Microsoft
http://www.vsantivirus.com/26-06-07.htm

Descarga de troyano en falso mensaje de Microsoft
http://www.vsantivirus.com/phis-banker-150306.htm

Falso anuncio de parche acumulativo de Microsoft
http://www.vsantivirus.com/20-05-05.htm

Mensaje con falsa actualización de Microsoft
http://www.vsantivirus.com/28-01-05.htm

¿Un mensaje de Microsoft con adjuntos?. ¡Cuidado!
http://www.vsantivirus.com/lz-ms-adjuntos.htm

Un virus "volará" su mente y Microsoft le dará un premio
http://www.vsantivirus.com/22-10-01.htm

Hoax: Hotmail, eliminación de cuentas (SPAM)
http://www.vsantivirus.com/hoax-hotmail-imagen.htm

Estarás oficialmente fuera de Hotmail en 10 días
http://www.vsantivirus.com/hoax-hotmail.htm


Agradecimientos:

A Luis de los Reyes, que nos reportó la primera muestra


(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director ejecutivo de ESET NOD32 Uruguay.











(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS