Troyano: nueva versión de Internet Explorer 7 Beta
Hoy me encontré en mi correo, nuevamente, con una versión Beta del Internet Explorer. El correo es enviado por spam masivamente y contiene una imagen haciendo alusión a una nueva version beta del explorador de Microsoft.
El correo falsea la dirección de origen para hacer creer al usuario que proviene de [email protected]:
Si verificamos la cabecera del correo es fácil verificar que en realidad el correo proviene de un servidor ruso:
Si observamos el código fuente del correo verificamos que la imagen mencionada se encuentra alojada en un servidor ajeno a Microsoft por supuesto y ubicado en una empresa de viajes que seguramente aún no sabe que sus servidores sirven de hosting de esta amenaza:
También verificamos que al hacer clic sobre la imagen se nos solicita deascargar un archivo ejecutable "update.exe" alojado en el mismo servidor que la imagen:
Si descargamos el ejecutable y lo verificamos por codigo dañino en VirusTotal podemos verificar que en realidad se trata de un troyano encargado de descargar otros malware. Estos programas reciben el nombre de downloaders.
Si analizamos (sin demasidos detalles) el código podemos ver que en el mismo se hace referencia a otro sitio ruso para descargar un nuevo ejecutable "proba.exe":
También se descarga un nuevo troyano "0.exe" y un "/HVyiFiFofYdYIdYIDy/update.exe". Este último nombre se encuentra ofuscado en su código fuente:
Este último se copia a sí mismo al perfil del usuario como "winlogon.exe" y se agrega automáticamente a la clave RUN del registro para asegurar su arranque la proxima vez que se inicie el sistema:
También descargan y ejecutan los archivos "sys.bat" y "p2hhr.bat" que se encargan de borrar las "huellas":
Una vez activo el programa no permite finalizar el proceso dando un error como se ve a continuación:
También hay que notar que el proceso recibe el nombre del otro "winlogon" original del sistema. Para identificarlos sólo hay que ver el usuario que lo ha ejecutado.
Actualizaciín 07/05/2007: El objetivo del troyano es enviar spam y aquí alguno de los antivirus que lo detectan:
cfb
El correo falsea la dirección de origen para hacer creer al usuario que proviene de [email protected]:
Si verificamos la cabecera del correo es fácil verificar que en realidad el correo proviene de un servidor ruso:
Si observamos el código fuente del correo verificamos que la imagen mencionada se encuentra alojada en un servidor ajeno a Microsoft por supuesto y ubicado en una empresa de viajes que seguramente aún no sabe que sus servidores sirven de hosting de esta amenaza:
También verificamos que al hacer clic sobre la imagen se nos solicita deascargar un archivo ejecutable "update.exe" alojado en el mismo servidor que la imagen:Si descargamos el ejecutable y lo verificamos por codigo dañino en VirusTotal podemos verificar que en realidad se trata de un troyano encargado de descargar otros malware. Estos programas reciben el nombre de downloaders.
Si analizamos (sin demasidos detalles) el código podemos ver que en el mismo se hace referencia a otro sitio ruso para descargar un nuevo ejecutable "proba.exe":
También se descarga un nuevo troyano "0.exe" y un "/HVyiFiFofYdYIdYIDy/update.exe". Este último nombre se encuentra ofuscado en su código fuente:
Este último se copia a sí mismo al perfil del usuario como "winlogon.exe" y se agrega automáticamente a la clave RUN del registro para asegurar su arranque la proxima vez que se inicie el sistema:
También descargan y ejecutan los archivos "sys.bat" y "p2hhr.bat" que se encargan de borrar las "huellas":
Una vez activo el programa no permite finalizar el proceso dando un error como se ve a continuación:
También hay que notar que el proceso recibe el nombre del otro "winlogon" original del sistema. Para identificarlos sólo hay que ver el usuario que lo ha ejecutado.Actualizaciín 07/05/2007: El objetivo del troyano es enviar spam y aquí alguno de los antivirus que lo detectan:
cfb
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!