Se propaga malware con supuesta noticia de Assange en diario El Universo
En el día de hoy varios usuarios nos han reportado un correo electrónico que dice provenir del diario El Universo de Ecuador, con una supuesta noticia de un ataque a la embajada de ese país en Inglaterra, debido a que allí se encuentra Julian Assange en asilo político.
El correo apunta a un enlace aún activo http://energio[ELIMINADO].dk/webalizer/images/eluniverso.php que descarga un archivo ejecutable desde http://www.cabana[ELIMINADO].de/downloads/Video_Notica_Wikileaks.exe.
Este es un troyano del tipo downloader que se encuentra desarrollado en Visual Basic y descarga un archivo de texto para reemplazar al archivo "host" del sistema. El archivo es el siguiente: http://www.viitanieme[ELIMINADO].fi/downloads/q.txt y su contenido busca engañar a los usuarios de los bancos Davivienda, Grupohelm de Colombia y Pichincha de Bolivia:
Finalmente el malware descarga otro archivo ejecutable de Visual Basic http://www.colombia[ELIMINADO].com/c.exe para continuar la infección.
En este momento la tasa de detección de los distintos antivirus es muy baja (8/42 para los 2 malware), por lo que es recomendable extremar las precauciones sobre noticias de este tipo.
Cristian de la Redacción de Segu-Info
El correo apunta a un enlace aún activo http://energio[ELIMINADO].dk/webalizer/images/eluniverso.php que descarga un archivo ejecutable desde http://www.cabana[ELIMINADO].de/downloads/Video_Notica_Wikileaks.exe.
Este es un troyano del tipo downloader que se encuentra desarrollado en Visual Basic y descarga un archivo de texto para reemplazar al archivo "host" del sistema. El archivo es el siguiente: http://www.viitanieme[ELIMINADO].fi/downloads/q.txt y su contenido busca engañar a los usuarios de los bancos Davivienda, Grupohelm de Colombia y Pichincha de Bolivia:
www.davivienda.com XXX.144.176.21
davivienda.com XXX.144.176.221
www.grupohelm.com XXX.144.176.221
grupohelm.com XXX.144.176.221
www.pichincha.com XXX.144.176.221
pichincha.com XXX.144.176.221
Finalmente el malware descarga otro archivo ejecutable de Visual Basic http://www.colombia[ELIMINADO].com/c.exe para continuar la infección.
En este momento la tasa de detección de los distintos antivirus es muy baja (8/42 para los 2 malware), por lo que es recomendable extremar las precauciones sobre noticias de este tipo.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!