Troyano disfrazado de reproductor de Macromedia Flash
Por Jose Luis Lopez (*)
[email protected]
Un mensaje que simula provenir de Hotmail, y que advierte
sobre el cierre de la cuenta por razones de spam, descarga un
falso reproductor de Macromedia Flash, el cuál instala un
troyano en el equipo de la víctima.
El mensaje, un típico spam con un tema muy utilizado por
antiguos hoaxes (el cierre de la cuenta de Hotmail), parece
provenir de Microsoft, y muestra el siguiente texto en
portugués:
el mensaje (siempre que se visualice el mismo en formato
HTML):
http: //www. macromediaflashplayer????. ???. net/
Si el usuario accede a dicha página, un mensaje solicitándole
la descarga de la última versión de Flash Player le es mostrada:
reproductor, desde un sitio en Hungría:
http: //www. pannoncom?????. hu/MacromediaFlashPlayer.exe
Al mismo tiempo, una página con el siguiente texto, puede ser
visualizada:
error es mostrado al usuario:
cuál a su vez descarga y ejecuta dos nuevos componentes desde
los siguientes sitios de Internet:
http: //www.pannoncom?????. hu/novo.exe
http: //macromediaflashplayer. krovat??. ??/listrox.exe
Los archivos descargados, son copiados en el directorio de
Windows con los siguientes nombres, y luego ejecutados:
c:\windows\xp1.exe
c:\windows\xp2.exe
Ambos son variantes modificadas de la familia de troyanos
tipo "Banker", los cuáles roban información de páginas
relacionadas con la banca electrónica en línea de
determinadas instituciones financieras, cada vez que el
usuario ingresa en las mismas.
Los troyanos pueden capturar la información ingresada por la
víctima en esos sitios, y enviarla a un atacante remoto.
Ambos utilizan ciertas técnicas para impedir ser localizados
fácilmente.
Los archivos y sitios mencionados, continuaban activos al
momento de este reporte.
Esto nos debe recordar una vez más, lo importante que es no
abrir adjuntos no solicitados, ni seguir enlaces de mensajes
que no hemos pedido, sin importar su procedencia.
Los engaños utilizados para llevar al usuario a ejecutar un
malware en su PC, pueden ser infinitos.
* Relacionados:
Troyano simula ser actualización de antivirus
http://www.vsantivirus.com/09-11-07.htm
Troyano simula ser actualización crítica de Microsoft
http://www.vsantivirus.com/26-06-07.htm
Descarga de troyano en falso mensaje de Microsoft
http://www.vsantivirus.com/phis-banker-150306.htm
Falso anuncio de parche acumulativo de Microsoft
http://www.vsantivirus.com/20-05-05.htm
Mensaje con falsa actualización de Microsoft
http://www.vsantivirus.com/28-01-05.htm
¿Un mensaje de Microsoft con adjuntos?. ¡Cuidado!
http://www.vsantivirus.com/lz-ms-adjuntos.htm
Un virus "volará" su mente y Microsoft le dará un premio
http://www.vsantivirus.com/22-10-01.htm
Hoax: Hotmail, eliminación de cuentas (SPAM)
http://www.vsantivirus.com/hoax-hotmail-imagen.htm
Estarás oficialmente fuera de Hotmail en 10 días
http://www.vsantivirus.com/hoax-hotmail.htm
* Agradecimientos:
A Luis de los Reyes, que nos reportó la primera muestra
Fuente: http://www.vsantivirus.com/28-12-07.htm
[email protected]
Un mensaje que simula provenir de Hotmail, y que advierte
sobre el cierre de la cuenta por razones de spam, descarga un
falso reproductor de Macromedia Flash, el cuál instala un
troyano en el equipo de la víctima.
El mensaje, un típico spam con un tema muy utilizado por
antiguos hoaxes (el cierre de la cuenta de Hotmail), parece
provenir de Microsoft, y muestra el siguiente texto en
portugués:
Asunto: Prezado usuário houve problemas em sua conta do hotmail.Los enlaces llevan a una dirección diferente a la que muestra
Atenção Usuario:
Sua conta será excluida em 2 dias por motivos de spam. Foi
constatado em nossos banco de dados que sua conta esta
enviando spam em massa para outros usuários da sua lista de
contatos Hotmail. Para que sua conta não seja excluída do
nosso sistema, clique no link abaixo:
para baixar a ferramenta de segurança do Hotmail:
http: //www. hotmail. com/problems/RP?c=???2970687388433803&hl=pt_BR
Instale a ferramenta de segurança, atualize seus dados e siga
as instruções no SAC.
Em caso de duvidas ou preocupações em relação a sua conta,
visite as Perguntas freqüentes (FAQs) do Hotmail no endereço:
https: //accountservices. passport. net/help/faq_accounts.html
Seu prazo para regularização é de 24 horas.
Atenciosamente,
Equipe de Tecnologia e Desenvolvimento Hotmail
© 2007 Microsoft TERMOS DE USO Declaração de Privacidade
POLÍTICA ANTI-SPAM DA MICROSOFT
suporte @ passport. com
el mensaje (siempre que se visualice el mismo en formato
HTML):
http: //www. macromediaflashplayer????. ???. net/
Si el usuario accede a dicha página, un mensaje solicitándole
la descarga de la última versión de Flash Player le es mostrada:
ULTIMA VERSÃO DO MACROMEDIA FLASH PLAYER NÃOCuando ello ocurre, se descarga automáticamente un supuesto
ENCONTRADO. POR FAVOR, FAÇA O DOWNLOAD E INSTALE.
reproductor, desde un sitio en Hungría:
http: //www. pannoncom?????. hu/MacromediaFlashPlayer.exe
Al mismo tiempo, una página con el siguiente texto, puede ser
visualizada:
Você não possui a última versão Macromedia Flash Player.Si la descarga culmina y el archivo es ejecutado, un falso
Este site requer o uso do software Macromedia®FlashTM .
Você possui uma versão antiga do Macromedia Flash Player
que não pode exibir o conteúdo desta página.
Porque não fazer o download e instalar a última versão?
É rápido e fácil.
Macromedia and Flash are trademarks of Macromedia,Inc.
error es mostrado al usuario:
sample_1En realidad, ya se está ejecutando el troyano descargado, el
Arquivo corrompido
[ OK ]
cuál a su vez descarga y ejecuta dos nuevos componentes desde
los siguientes sitios de Internet:
http: //www.pannoncom?????. hu/novo.exe
http: //macromediaflashplayer. krovat??. ??/listrox.exe
Los archivos descargados, son copiados en el directorio de
Windows con los siguientes nombres, y luego ejecutados:
c:\windows\xp1.exe
c:\windows\xp2.exe
Ambos son variantes modificadas de la familia de troyanos
tipo "Banker", los cuáles roban información de páginas
relacionadas con la banca electrónica en línea de
determinadas instituciones financieras, cada vez que el
usuario ingresa en las mismas.
Los troyanos pueden capturar la información ingresada por la
víctima en esos sitios, y enviarla a un atacante remoto.
Ambos utilizan ciertas técnicas para impedir ser localizados
fácilmente.
Los archivos y sitios mencionados, continuaban activos al
momento de este reporte.
Esto nos debe recordar una vez más, lo importante que es no
abrir adjuntos no solicitados, ni seguir enlaces de mensajes
que no hemos pedido, sin importar su procedencia.
Los engaños utilizados para llevar al usuario a ejecutar un
malware en su PC, pueden ser infinitos.
* Relacionados:
Troyano simula ser actualización de antivirus
http://www.vsantivirus.com/09-11-07.htm
Troyano simula ser actualización crítica de Microsoft
http://www.vsantivirus.com/26-06-07.htm
Descarga de troyano en falso mensaje de Microsoft
http://www.vsantivirus.com/phis-banker-150306.htm
Falso anuncio de parche acumulativo de Microsoft
http://www.vsantivirus.com/20-05-05.htm
Mensaje con falsa actualización de Microsoft
http://www.vsantivirus.com/28-01-05.htm
¿Un mensaje de Microsoft con adjuntos?. ¡Cuidado!
http://www.vsantivirus.com/lz-ms-adjuntos.htm
Un virus "volará" su mente y Microsoft le dará un premio
http://www.vsantivirus.com/22-10-01.htm
Hoax: Hotmail, eliminación de cuentas (SPAM)
http://www.vsantivirus.com/hoax-hotmail-imagen.htm
Estarás oficialmente fuera de Hotmail en 10 días
http://www.vsantivirus.com/hoax-hotmail.htm
* Agradecimientos:
A Luis de los Reyes, que nos reportó la primera muestra
Fuente: http://www.vsantivirus.com/28-12-07.htm
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!