El correo apunta a un enlace aún activo http://energio[ELIMINADO].dk/webalizer/images/eluniverso.php que descarga un archivo ejecutable desde http://www.cabana[ELIMINADO].de/downloads/Video_Notica_Wikileaks.exe.
Este es un troyano del tipo downloader que se encuentra desarrollado en Visual Basic y descarga un archivo de texto para reemplazar al archivo "host" del sistema. El archivo es el siguiente: http://www.viitanieme[ELIMINADO].fi/downloads/q.txt y su contenido busca engañar a los usuarios de los bancos Davivienda, Grupohelm de Colombia y Pichincha de Bolivia:
www.davivienda.com XXX.144.176.21
davivienda.com XXX.144.176.221
www.grupohelm.com XXX.144.176.221
grupohelm.com XXX.144.176.221
www.pichincha.com XXX.144.176.221
pichincha.com XXX.144.176.221
Finalmente el malware descarga otro archivo ejecutable de Visual Basic http://www.colombia[ELIMINADO].com/c.exe para continuar la infección.
En este momento la tasa de detección de los distintos antivirus es muy baja (8/42 para los 2 malware), por lo que es recomendable extremar las precauciones sobre noticias de este tipo.
Cristian de la Redacción de Segu-Info
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!