Tarjetas postales electrónicas en Messenger – Troyano

Chateando con una amiga en el Live Messenger durante la conversación parecío que me escribió

Mira la tarjeta que te hice http://bubbatarjetas.xxxxxxxxxx.xxxxxxxxxx

Como el link es genérico (sin parámetros o variables que indicaran que la supuesta tarjeta fue personalizada) me hizo pensarlo dos veces. Al hacer clic sobre la liga me apareció el ya conocido diálogo que no es de Adobe Flash donde tengo que actualizar la versión.

090705FlashTrojan

Obviamente te pide descargar un archivo sin firma digital y de nombre “Flash-Installer-Windows.exe”

El antivirus ni se inmutó, así que debe ser una variante que posteriormente aparecerá en las actualizaciones.

Mucho cuidado con lo que reciben aunque sea de parte de personas conocidas.

Abur

Actualización 7 de Julio 09

Prové en una PC Virtual a ver qué sucedía si ejecutaba el susodicho instalador. Las dos pruebas fueron así:

Primera prueba -> Sin Antivirus

– Prácticamente todos los ejecutables en la PCV fueron inoculados con el virus (Virus.Win32.Virut.ce) un verdadero dolor de cabeza.
– Los archivos que se salvaron fueron aquellos en uso: explorer.exe, msnmsgr.exe, pero al momento de reiniciar fueron infectados de inmediato.
– El Live Messenger tronó por todos lados, extraño porque por ahí es por donde llega. Tal vez la instalación del Messenger Plus! logró que no se iniciara.

Al ejecutar NOD32 Business Edition, éste detectó los archivos infectados, pero al ser tantos, simplemente se atoró el equipo y dejó de funcionar. Hubo que presionar el botón de encendido por unos segundos para apagarlo.

Segunda prueba -> Antivirus NOD32 Business Edition 2009 ACTIVADO

– Al momento de ejecutarse el instalador, NOD32 detectó 3 archivos de inmediato pero entró en un ciclo que provocó que el equipo colapsara. Cada archivo infectado era detectado, pero fueron tantos al mismo tiempo que no hubo oportunidad para salvar el equipo 😦

– Al reiniciar el equipo trataba de enviar el diálogo de NOD32 de infección de archivos, pero después de 30 minutos en el mismo estado, hubo que apagarlo.

–  Mismo efecto al reiniciar en “Modo Seguro”

Cómo deshacerse de él? Este caso puede ser único ya que no infectó completamente el equipo, detallaré las condiciones usando Kaspersky Internet Security 2009 ACTIVADO

– Arrancó el instalador y KIS detectó los mismos 3 archivos que NOD32 (el maldito log tronó y no supe cuáles fueron)

– El equipo empezó a colapsar por lo que use el Administrador de tareas para tirar el proceso Flash-Installer-Windows.exe ycon el KIS bloqueé eltráfico de red ya que empezó a descargar Trojan.Downloader.

– Cerré el equipo y arranqué en “Modo Seguro” ejecutando KIS y un análisis completo del equipo. En menos de 10 segundos que duró el incidente, había más de 300 archivos incluyendo varios de sistema infectados con el virus (Virus.Win32.Virut.ce)

–  Después de unas 4 reiniciadas y 4 re escaneos, el equipo parece recuperado. Otra cosa que se puede hacer es el sacar el disco duro y conectarlo por USB a otro equipo y pasarle un scan completo. El adaptador se puede obtener comprando un disco externo 5.25″ y desarmándolo. No tiene gran ciencia ya que el conector de datos y el de energía son idénticos al de una PC. Aplica lo mismo para notebook.

– Cabe mencionar que Live Messenger no quedó del todo bien ya que produce errores o se cierra cada cierto tiempo. KIS sigue de repente encontrando rastros del virus en ejecutables incluso dentro  de archivos comprimidos (ZIP y RAR)

Saludos

Actualización de Outlook – Correo falso

Ha estado llegando un correo que supuestamente es enviado por Microsoft solicitando se instale una actualización crítica de Outlook. Puede hacernos pensar que es genuino pero aquí vienen los detalles que si nos detenemos un momento y lo pensamos otra vez, nos ayudará a identificar su origen y verdadero objetivo: infectar nuestro equipo.

090624OutlookFraud

1. ¿Para qué enviaría Microsoft un correo si Windows XP y Vista en todas sus versiones cuentan con las actualizaciones automáticas? Y si piensas que tú no necesitas usarl Windows Update, hay algunas, como el Microsoft Windows Genuine Advantage, que te aparecen quieras o no.

Este mensaje de supuesta alerta está de más.

2.Hay scripts y APIs que permiten identificar el idioma en el que está instalado tu sistema operativo y algunas aplicaciones para que las páginas Web se despliguen en tu idioma. ¿Porqué a las personas de habla hispana, con direcciones de correo en dominios .mx – evidentemente mexicanos -, con IPs en México, les llega el correo en inglés? ¿Podría ser un error y mandaron un sólo correo en inglés a tooodo el mundo? Es poco probable.

3. El correo afirma que la actualización aplica para sistemas operativos desde Windows 98, pasando por Windows Server 2003, hasta Windows Vista. Windows Vista sustituye Outlook Express por Windows Mail. La plataforma Server es una plataforma distinta a las demás versiones de Windows, especialmente lo que se refiere a seguridad de Internet. No podría aplicar un sólo archivo de 81KB para todas las versions de Windows. En absoluto este correo es real.

4. Si colocas el puntero sobre la dirección, aparece el “tooltip” indicando la dirección real a la que te debería de mandar la liga. ¿Qué es eso de killlik.net? Nada que ver con Microsoft.

5. Como se ha visto de un tiempo para acá, contratan servicios desde Alemania para generar los códigos, aplicaciones y en este caso el correo y el sitio donde se hospeda la aplicación maliciosa. El remitente no es Microsoft Customer Support [no-reply@microsoft.com] sino bucketed6@seidel-training.de

Ayer todavía no era detectado o reportado a Microsoft o a los sitios de antivirus y navegación segura. El día de hoy Firefox ya te presenta una advertencia respecto al sitio al que vas a entrar para descargar la supuesta actualización de Outlook.

090624OutlookFraudFirefoxWarn

Hay que ser más suspicaces cada vez. Saludos

Actualización 26 Junio 2009

Como ya les bloquearon el dominio anterior me supongo que seguirá llegando el correo con distintas direcciones para descargar el archivo con un Troyano. Esta es la pantalla que aparece si uno hace click en la liga

090626OutlookFraudDn

Cuidado! A las 8:30AM del día de hoy, 4 antivirus aún no lo identifican como tal.

A las 9:00 AM kaspersky Labs lo identifica como Trojan-Dropper.Win32.Zbot.h

Saludos

Circula por Internet video de ejecución del alcalde Otaez – Correo falso

090208reforma

No se cansan de tratar de infectar con troyanos los equipos de los mexicanos. Ni se cansarán. Ya que el morbo y la desinformación es una característica de la mayoría de los cybernautas de todo el mundo. Y en México, está aderezada con todos los eventos por la inseguridad que reina.

Esta mañana llega un correo con el título: “Circula por Internet video de ejecución del alcalde Otaez (Durango)”

Demasiado simplista y con una liga “equis” a Ver el vídeo.  Como se muestra en la imagen inicial de esta entrada.

El remitente evidente: Periodico Reforma [notas@periodicoreforma.com]

El remitente real: nobody@cpanel2.xdominio.com

Ya desde ahí ya se sabe que no es real. Si se da clic a la liga para ver el video. Se despliega una dirección que nada tiene que ver con el periódico Reforma y se muestra la ya chafa y socorrida ventana de un video que se quiere cargar. Obviamente, si realmente hiciera falta el conector de flash para verlo, no saldría ni siquiera el cuadro éste chafa de “Loading”

090208reformavideo

E inmediatamente después la otra ventana chafa de que la versión es “incorrecta” dizque de flash y que aunque hagamos clic en cancelar, no nos deja de otra más que aceptar la dizque actualización a la versión “correcta”.

090208reformaflash1

Si  ya le diste clic a la liga lo que se debe de hacer es cerrar el Internet Explorer. Dado que no te va a dejar hacerlo sigue los siguientes pasos:

1. Presiona la combinación de teclas Alt + Ctrl + Supr para desplegar el “Administrador de Tareas”

2. De la lista de Procesos búscate “iexplore.exe” y luego haz clic en “Terminar proceso”

En este caso sale a nuestra salvación un buena suite antivirus. En este caso. El Kaspersky Internet Security 2009 lo detectó de inmediato y ni dejó abrir la ventanaidentificándolo como un Troyano Genérico.

090208reformakis

No dejaré de insistir que un antivirus “de verdad” y no gratis, son de las inversiones (40USD) que debemos hacer a neustro equipo, además de un buen UPS.

Saludos

Virus en correo falso de Madonna haciendo declaraciones acerca de mexicanos – Correo falso

Correo OrejaAprovechando la víspera de la llegada de Madonna a México y la curiosidad y el morbo de la gente, llegó ahora un correo supuestamente del programa de chismes y estupideces que no sé cómo en nuestros días todavía tiene audiencia de TV “la Oreja”

Tiene como título “Madonna dice que los mexicanos somos los más feos del mundo.!‏” Algo que no creo que Madonna siendo un ser pensante y ni teniendo mil arranques de ira o depresión, hubiera declarado en público, en entrevista y menos a un reportero mexicano.

El correo podría confundir a más de uno, sin embargo tiene los siguientes detalles:

– El remitente es “info@hi5.com“. Primeros indicios de que el correo es falso.

– Es patrocinado por “Box.net“??? que es un sitio dedicado a almacenar archivos de cualquier tipo… desde fotografías hasta virus como es el caso. Y ya quisiera “La Oreja” que fuera patrocinada por ellos.

– La leyenda de derechos de autor data del 2004 :O ¿¿¿Cuatro años antes??? ¿Descuido?

– Cualquiera de las ligas a la que hagas clic, te lleva, irremdiablemente, a descargar el archivo “noticias.exe” de 30KB. A las 8:30AM de 3 antivirus, ninguno lo identificó como amenaza. Sin embargo lo puse a prueba en una máquina virtual y casualmente el archivito tiene comportamiento de Troyano.

Hay que desconfiar de cualquier correo no solicitado y más si viene de la Oreja jaja cuando eres un ser pensante y prefieres usar el tiempo de tu vida en algo que aporte.

Si te pide descargar algo, que no sea con las extensiones .exe, .vbs, .cmd, .bat o .com en el caso de las PCs con cualquier versión de Windows – aunque Vista reacciona distinto – Los usuarios de Mac o Linux no tienen de qué preocuparse.

Saludos

Actualización: Confirmado por Kaspersky Labs. El programa es un Trojan.Win32.VB.hcs

Como eliminarlo:

1. Reinicia tu computadora y después de la pantalla negra del POST donde se presenta, ya sea, información del motherboard, del BIOS, Memoria, etc. presiona la tecla F8 para que aparezca el menú de inicio de Windows.

2. Del menú selecciona “Modo seguro” o “Modo a prueba de fallos” arrancará Windows con una resolución de pantalla grande (640 x 480) con los colores mínimos (16 colores) pero está bien.

3. Abrir un explorador de Windows y buscar los archivos “winrun.exe” y “winlogin.exe” Asegúrate de tener activado el mostrar archivos ocultos y de sistema operativo. (Menú Herramientas -> Opciones -> Ver -> “Mostrar todos los archivos y carpetas ocultos” y Desactivar “Ocultar archivos protegidos del sistema operativo”

4. Bórralos

5. Inicio -> Ejecutar y en el campo de  “Abrir” poner “regedit.exe” sin las comillas.

6. Buscar la clave HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\Current Version\Windows y del lado derecho dentro de “load” borrar el valor y dejarlo en blanco. Cerrar regedit

7. Localiza el archivo “hosts” C:\Windows\System32\drivers\etc ábrelo con un “Bloc de notas”, borra todo su contenido y guárdalo.

8.  Reinicia.

Realiza un scan en línea para verificar la existencia de algún malware. Kaspersky scanner online

Saludos

Circula video de avionazo (El Universal) – Correo falso

Aprovechando el “accidente” que tuvo el LearJet el 4 de Noviembre en la Ciudad de México, hoy llega un correo nuevamente falso, buscando explotar el morbo o la curiosidad del receptor. El remitente supuestamente es el diario mexicano El Universal. Pero realmente llega de otra fuente que nada tiene que ver con él.

El Universal (falso)

El texto mal redactado y sin ortografía – primer indicio que te hará pensar: “ésto no viene de El Universal” – reza así:

Circula por la web video captando el momento del avionazo en el que Fallece el Secretario de Gobernación de México
El dia lunes 10 de noviembre, un espectador presenta grabación donde se muestran imagenes precisas del descenso y colapso de la aeronave en la que viajaba el secretario de gobernacion Juan Camilo Mouriño, acompañado del ex titular de la SIEDO José Luis Santiago Vasconcelos y otros funcionarios; tal catastrofe ocurre a escasos metros de Periférico y Paseo de Reforma.
Se estima que gracias a esta grabación el trabajo de Peritos y Forenses internacionales se facilite y lleguen a una conclusión en los proximos días.
Ver video.

El link ver video lleva a un servidor que para nada es de El Universal y para no variar aparece una página que a todas luces es falsa pero que podría engañar a más de un despistado o persona que podría estar empezando a hacer uso del Internet y las computadoras.

Video Falso_Una página completamente negra con solamente el control del video y que aparece con la leyenda “loading”.

Otra evidencia que nada tiene que ver con el periódico El Universal.

Si nos fijamos en la dirección, estamos entrando a un sitio donde, si dejamos que suceda, nos descargará un archivo ejecutable (terminación .exe) que al presentarse directamente en la dirección – no mostrada por obvias razones – nuestro navegador intentará reproducir en nuestros equipos.

Después de un segundo aparecerá el ya típico diálogo emulando la que nos aparecería si necesitáramos actualizar nuestra versión de flash.

Diálogo Falso de Flash

Me supongo que han de ser los mismos tipos ya que es igual al que aparece siempre que te quieren engañar con eso de la versión del Flash.

Si no cuentas con un buen antivirus o suite de seguridad, el diálogo no te dejará hacer nada sino hasta que presiones el botón “Ok”

sds

Necesitarías apretar la combinación mágica (a veces no funciona cuando algún malware nos infectó y desactiva o el programa o la combinación) Alt + Ctrl + Del para invocar al Administrador de tareas.

Task Manager Haces clic en la pestaña “Procesos” y seleccionas el proceso que te suene como al nombre de tu navegador.

Luego presionas el botón “Terminar proceso” para poder salir de él.

En el caso de Kaspersky IS 2009 aparece de inmediato el bloqueo del ejecutable y el mensaje de que el sitio está infectado con Heur.Trojan.Generic.

Para algunos puede parecernos evidente que es un fraude donde seguramente buscarán infectar nuestro equipo con algún malware, pero para otras personas, no.

Espero les sea de ayuda.

Saludos