|
VSantivirus No. 1829 Año 9, domingo 10 de julio de 2005
Dos nuevos envíos de spam con mensajes infectados
http://www.vsantivirus.com/10-07-05.htm
Por Angela Ruiz
angela@videosoft.net.uy
No es extraño hoy día, que el envío de gusanos, troyanos y otras clases de malware, sea realizado en forma de spam (correo masivo no solicitado). Incluso puede utilizarse para ello, equipos previamente infectados por otros códigos maliciosos, con el resultado de convertirse en verdaderos "zombis", realizando tareas como éstas, sin el conocimiento de sus dueños.
Ayer (viernes 8 de julio de 2005), se anunciaba la aparición de un correo masivo que explotaba para hacer caer a sus víctimas, el reciente atentado terrorista en Londres. Hoy (sábado 9), MessageLabs ha reportado la propagación masiva en forma de spam, de dos nuevos troyanos que descargan y ejecutan otros malwares desde Internet.
El correo electrónico detectado, es el mismo en ambos casos, y solo varía el archivo descargado.
Según MessageLabs, se llegaron a interceptar más de 54,000 copias de ambos envíos.
En este caso, el mensaje intenta hacer creer al usuario que es enviado por una dirección falsa que simula ser del administrador del sistema de la dirección electrónica de la víctima, e incita al usuario a tomar medidas a los efectos que su cuenta electrónica no sea dada de baja. La excusa es que la misma "fue utilizada esta semana para enviar una gran cantidad de spam". En concreto, se le pide que abra el adjunto para confirmarlo, y de ese modo "no será afectado por este problema en el futuro".
Las características del mensaje son las siguientes:
Asunto: Spam Report
Datos adjuntos: report.log.exe
Texto del mensaje:
Dear user,
Your e-mail account was used to send a huge amount of
unsolicited spam messages during the recent week. If you
could please take 5-10 minutes out of your online
experience and confirm the attached document so you will
not run into any future problems with the online service.
If you choose to ignore our request, you leave us no
choice but to cancel your membership.
Virtually yours,
Network Administrator Team
Si el usuario abre el adjunto, se descargará y ejecutará un caballo de Troya que permite a un atacante tomar el control del equipo.
Como dijimos al principio, existieron al menos dos versiones diferentes de troyanos enviados y descargados de Internet con el mismo mensaje. Uno de ellos fue detectado por la mayoría de los antivirus como una variante del Dumador (Win32/Dumador para NOD32).
El otro, solo fue detectado por cuatro antivirus, entre ellos NOD32 con su heurística avanzada.
Este es un resumen de dichas detecciones, según reportaba VirusTotal.com, el servicio de Hispasec. Los mensajes fueron detectados a las 12:18 de Uruguay (15:18 UTC), y 13:06 de Uruguay (16:06 UTC).
Troyano 1 (15:18 UTC):
AntiVir 6.31.0.9 - 09.07.2005 - BDS/Dumador.CX.15
AVG 718 - 08.07.2005 - no ha encontrado virus
Avira 6.31.0.9 - 09.07.2005 - BDS/Dumador.CX.15
BitDefender 7.0 - 09.07.2005 - Dropped:Trojan.Dumaru.BE
ClamAV devel-20050501 - 08.07.2005 - Trojan.Dumador-34
DrWeb 4.32b - 08.07.2005 - BackDoor.Dumaru.7
eTrust-Iris 7.1.194.0 - 08.07.2005 - Win32/Bambo.BJ!Trojan
eTrust-Vet 11.9.1.0 - 08.07.2005 - Win32.Bambo.BJ
Fortinet 2.36.0.0 - 09.07.2005 - W32/Dumaru.fam-mm
Ikarus 2.32 - 08.07.2005 - no ha encontrado virus
Kaspersky 4.0.2.24 10.07.2005 Backdoor.Win32.Dumador.cx
McAfee 4531 - 08.07.2005 - W32/Dumaru.gen@MM
* NOD32v2 1.1164 - 08.07.2005 - a variant of Win32/Dumador
Norman 5.70.10 - 07.07.2005 - W32/Dumador.IH
Panda 8.02.00 - 09.07.2005 - Bck/Dumador.BR
Sybari 7.5.1314 10.07.2005 Win32/Bambo.BJ!Trojan
Symantec 8.0 - 09.07.2005 - Backdoor.Nibu
TheHacker 5.8.2.069 - 10.07.2005 - Backdoor/Dumador.cx
VBA32 3.10.4 - 09.07.2005 - Backdoor.Win32.Dumador.cx
Troyano 2 (16:06 UTC):
AntiVir 6.31.0.9 - 09.07.2005 - no ha encontrado virus
AVG 718 - 08.07.2005 - no ha encontrado virus
Avira 6.31.0.9 - 09.07.2005 - no ha encontrado virus
BitDefender 7.0 - 09.07.2005 - no ha encontrado virus
ClamAV devel-20050501 - 08.07.2005 - no ha encontrado virus
DrWeb 4.32b - 08.07.2005 - no ha encontrado virus
eTrust-Iris 7.1.194.0 - 08.07.2005 - no ha encontrado virus
eTrust-Vet 11.9.1.0 - 08.07.2005 - no ha encontrado virus
Fortinet 2.36.0.0 - 09.07.2005 - suspicious
Ikarus 2.32 - 08.07.2005 - no ha encontrado virus
Kaspersky 4.0.2.24 10.07.2005 no ha encontrado virus
McAfee 4531 - 08.07.2005 - no ha encontrado virus
* NOD32v2 1.1164 - 08.07.2005 - probably unknown NewHeur_PE virus
Norman 5.70.10 - 07.07.2005 - W32/Suspicious_M.gen
Panda 8.02.00 - 09.07.2005 - no ha encontrado virus
Sybari 7.5.1314 10.07.2005 W32/Suspicious_M.ge
Symantec 8.0 - 09.07.2005 - no ha encontrado virus
TheHacker 5.8.2.069 - 10.07.2005 - no ha encontrado virus
VBA32 3.10.4 - 09.07.2005 - suspected of Backdoor.VisualC.33
Es importante recordar que jamás debemos abrir adjuntos no solicitados, sin importar quien los envía. Pero también lo es examinar nuestro equipo con antivirus actualizados, y utilizar cortafuegos que jamás debemos desactivar, para prevenir que nuestra computadora sea utilizada para tareas delictivas.
Relacionados:
Correo con virus aprovecha la masacre de Londres
http://www.vsantivirus.com/09-07-05.htm
W32/Dumador. Compromete información crítica
http://www.vsantivirus.com/dumador.htm
Sobre NOD32: Video Soft, empresa creadora del sitio VSAntivirus, representa de forma exclusiva en Uruguay al antivirus NOD32 (marca registrada de Eset). Más información:
http://www.nod32.com.uy/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|