El resurgir del virus Storm : Exprimiendo el correo basura (III)
Una vez más, merece la pena detenerse ante un correo basura que está inundando nuestros buzones (y por extensión, el de algunos millones más de usuarios) durante estos días. Se trata de un spam que intenta hacer que la víctima visite una página. Con cierta audacia, pretende que se descargue un ejecutable y si no, aprovechar fallos para infectar. Lo destacable en este caso, es la cantidad de variantes que se están creando y su capacidad para pasar a través de los filtros antispam.
Desde hace unos días estamos recibiendo decenas de correos con esta estructura:
Las contraseñas son también aleatorias. Cuando se visita el enlace a la dirección IP (situada en EEUU o Corea del Sur, entre otros) aparece en el navegador una escueta frase:
Una de las curiosidades de este ataque es la variedad de “applet.exe” que están creando. Con tamaños parecidos, no parecen existir dos iguales, variando siempre en un intento de pasar desapercibido ante los antivirus. Sin embargo no lo consigue. Casi el 60% de los antivirus en VirusTotal.com detectan las variantes como sospechosas o como malware identificado. Resulta curioso (aunque ya habitual) como prácticamente ningún motor se pone de acuerdo en su nomenclatura, llamándolas casi de tantas formas distintas como motores y detecciones. Parecen resultar ser variantes del storm worm, un virus mediático del que se habló bastante a comienzos de 2007.
Otro interesante análisis es la capacidad de “no parecer spam” de este correo sencillo en texto plano. Es puntuado muy bajo en el ratio de "posibilidades de ser basura" que otorgan los programas antispam, y se cuela fácilmente en filtros incluso sofisticados. Coexisten en esta basura dos técnicas contrapuestas. Los spammers están tendiendo a técnicas efectivas y sofisticadas ayudándose de archivos adjuntos en PDF e incluso FDF para eludir filtros. Por otro lado, los que intentan infectar con troyanos han encontrado en la “sencillez” del mensaje y en el apoyo en servidores web para alojar el malware (eliminando así el adjunto y el potencial bloqueo de los antivirus), las características para llegar a sus víctimas.
Más información:
18/06/2007 Malware alojado en dominios .hk: Exprimiendo el correo basura (II)
http://www.hispasec.com/unaaldia/3159
07/06/2007 Nuevas técnicas de spam: Exprimiendo el correo basura
http://www.hispasec.com/unaaldia/3148
22/01/2007 El mediático troyano de la tormenta y las lecciones no aprendidas
http://www.hispasec.com/unaaldia/3012
Sergio de los Santos
[email protected]
Fuente:
http://www.hispasec.com/unaaldia/3224/
http://blogs.eset-la.com/laboratorio/index.php?s=nuwar
Desde hace unos días estamos recibiendo decenas de correos con esta estructura:
Dear Member, Welcome To XXXXXXDonde XXXXX suele hablar de citas, MP3 o incluso cuidado de perros.
Membership Number: 43287941
Login ID: user4579
Temp Password ID: cy209
For security purposes please login and change the temporary Login ID
and Password. Follow this link, or paste it in your browser:
http://XX.XX.XX.XX/
Thank You, Support Department, XXXXXX
Las contraseñas son también aleatorias. Cuando se visita el enlace a la dirección IP (situada en EEUU o Corea del Sur, entre otros) aparece en el navegador una escueta frase:
“If you do not see the Secure Login Window please install our Secure Login Applet”Esto apunta a la descarga de applet.exe. Esta misma página, aunque no se descargue el ejecutable, contiene un script oculto, codificado con XOR que de forma automática intenta aprovechar vulnerabilidades del navegador o plugins asociados con exploits conocidos. La potencial víctima formará parte de las estadísticas de un servidor Mpack.
Una de las curiosidades de este ataque es la variedad de “applet.exe” que están creando. Con tamaños parecidos, no parecen existir dos iguales, variando siempre en un intento de pasar desapercibido ante los antivirus. Sin embargo no lo consigue. Casi el 60% de los antivirus en VirusTotal.com detectan las variantes como sospechosas o como malware identificado. Resulta curioso (aunque ya habitual) como prácticamente ningún motor se pone de acuerdo en su nomenclatura, llamándolas casi de tantas formas distintas como motores y detecciones. Parecen resultar ser variantes del storm worm, un virus mediático del que se habló bastante a comienzos de 2007.
Otro interesante análisis es la capacidad de “no parecer spam” de este correo sencillo en texto plano. Es puntuado muy bajo en el ratio de "posibilidades de ser basura" que otorgan los programas antispam, y se cuela fácilmente en filtros incluso sofisticados. Coexisten en esta basura dos técnicas contrapuestas. Los spammers están tendiendo a técnicas efectivas y sofisticadas ayudándose de archivos adjuntos en PDF e incluso FDF para eludir filtros. Por otro lado, los que intentan infectar con troyanos han encontrado en la “sencillez” del mensaje y en el apoyo en servidores web para alojar el malware (eliminando así el adjunto y el potencial bloqueo de los antivirus), las características para llegar a sus víctimas.
Más información:
18/06/2007 Malware alojado en dominios .hk: Exprimiendo el correo basura (II)
http://www.hispasec.com/unaaldia/3159
07/06/2007 Nuevas técnicas de spam: Exprimiendo el correo basura
http://www.hispasec.com/unaaldia/3148
22/01/2007 El mediático troyano de la tormenta y las lecciones no aprendidas
http://www.hispasec.com/unaaldia/3012
Sergio de los Santos
[email protected]
Fuente:
http://www.hispasec.com/unaaldia/3224/
http://blogs.eset-la.com/laboratorio/index.php?s=nuwar


0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!