Circula video de avionazo (El Universal) – Correo falso

Aprovechando el «accidente» que tuvo el LearJet el 4 de Noviembre en la Ciudad de México, hoy llega un correo nuevamente falso, buscando explotar el morbo o la curiosidad del receptor. El remitente supuestamente es el diario mexicano El Universal. Pero realmente llega de otra fuente que nada tiene que ver con él.

El Universal (falso)

El texto mal redactado y sin ortografía – primer indicio que te hará pensar: «ésto no viene de El Universal» – reza así:

Circula por la web video captando el momento del avionazo en el que Fallece el Secretario de Gobernación de México
El dia lunes 10 de noviembre, un espectador presenta grabación donde se muestran imagenes precisas del descenso y colapso de la aeronave en la que viajaba el secretario de gobernacion Juan Camilo Mouriño, acompañado del ex titular de la SIEDO José Luis Santiago Vasconcelos y otros funcionarios; tal catastrofe ocurre a escasos metros de Periférico y Paseo de Reforma.
Se estima que gracias a esta grabación el trabajo de Peritos y Forenses internacionales se facilite y lleguen a una conclusión en los proximos días.
Ver video.

El link ver video lleva a un servidor que para nada es de El Universal y para no variar aparece una página que a todas luces es falsa pero que podría engañar a más de un despistado o persona que podría estar empezando a hacer uso del Internet y las computadoras.

Video Falso_Una página completamente negra con solamente el control del video y que aparece con la leyenda «loading».

Otra evidencia que nada tiene que ver con el periódico El Universal.

Si nos fijamos en la dirección, estamos entrando a un sitio donde, si dejamos que suceda, nos descargará un archivo ejecutable (terminación .exe) que al presentarse directamente en la dirección – no mostrada por obvias razones – nuestro navegador intentará reproducir en nuestros equipos.

Después de un segundo aparecerá el ya típico diálogo emulando la que nos aparecería si necesitáramos actualizar nuestra versión de flash.

Diálogo Falso de Flash

Me supongo que han de ser los mismos tipos ya que es igual al que aparece siempre que te quieren engañar con eso de la versión del Flash.

Si no cuentas con un buen antivirus o suite de seguridad, el diálogo no te dejará hacer nada sino hasta que presiones el botón «Ok»

sds

Necesitarías apretar la combinación mágica (a veces no funciona cuando algún malware nos infectó y desactiva o el programa o la combinación) Alt + Ctrl + Del para invocar al Administrador de tareas.

Task Manager Haces clic en la pestaña «Procesos» y seleccionas el proceso que te suene como al nombre de tu navegador.

Luego presionas el botón «Terminar proceso» para poder salir de él.

En el caso de Kaspersky IS 2009 aparece de inmediato el bloqueo del ejecutable y el mensaje de que el sitio está infectado con Heur.Trojan.Generic.

Para algunos puede parecernos evidente que es un fraude donde seguramente buscarán infectar nuestro equipo con algún malware, pero para otras personas, no.

Espero les sea de ayuda.

Saludos

Virus en Facebook

Mensaje de KIS2009 al abrir el sitio

Mensaje de KIS2009 al abrir el sitio

Ahora los correos y mensajería instantánea ya no están solos como los medios por excelencia para enviar malware en general. Ahora se suman también los foros de las redes sociales como Facebook, MySpace y otros de tercera como el Hi5.

En este post:

A) El caso típico a partir de mi experiencia personal

B) Cómo protegerse de este tipo de ataques.

A) El caso típico a partir de mi experiencia personal

Cómo te llega una de estas cosas? Detallaré mi caso:

1. Recibes un correo electrónico de Facebook en el cual te informan que uno de tus contactos te ha escrito un mensaje. Extrañamente el texto viene en inglés y resulta que tu amigo es hispano parlante. En fin, puede ser que el mensaje lo hubiera enviado a varios contactos y el inglés es el lenguaje internacionalmente aceptado para comunicarse por medios electrónicos.

2. Entras a tu cuenta en Facebook y te efectivamente hay un mensaje de esta persona en tu bandeja de entrada. Cabe mencionar que la persona que envía el correo puede ser: el clásico que agregaste después de jugar unas 10 partidas en Texas HoldEm Poker, o puede ser tu amigo de toda la vida o un familiar. No hay distinción.

3. El mensaje es uno enviado no sólo a ti si no a varias personas. En este caso el texto dice así:

Está mal escrito pero cuál «party» y porqué «sexy» Evidentemente está hecho para angloparlantes pero los malware no hacen distinción entre idiomas, edades, razas, etc. O sea que igual y también te afecta.

4. Al hacer clic en la liga del correo te lleva a un mensaje de otro usuario que seguramente es falso.

5. De ahí lleva a la supuesta liga donde está el video que pareciera ser YouTube bastante chafa y mediocremente hecho pero que podría en un momento confundir a cualquiera.

Falso YouTube

Falso YouTube

6. Después de unos segundo o haciendo clic en cualquiera de las ligas buscará descargar el archivo «Flash_update.exe» de 20KB el cual es un malware de tipo Gusano (Worm)

Este es el caso de Facebook, pero seguramente pueden hacer lo mismo en cualquier otra de las redes sociales.

B) Cómo protegerse de este tipo de ataques.

– Lo primero e imprescindible hoy en día es un buen antivirus. No recomiendo ninguno de los gratis o hacer combinaciones. Es decir, tener el AVG, el NOD32 y el Ad-aware ya que luego entre ellos se anulan. Además de que las actualizaciones de nuevas amenazas tardan hasta 4 veces más que los antivirus que se compran.

Mis recomendaciones en orden:
1. Kaspersky Internet Security 2009
2. ESET NOD32 Enterprise
3. Bit Defender

– No agregar «a diestra y siniestra» a personas que no conocemos en las redes sociales. Aunque hayamos chateado algunas veces con ellas y parezcan personas decentes. Algunas también realizan fraudes a través de estos medios. Aquí escribí al respecto.

– Detenerse un momento y cuestionar las intenciones detrás de cualquier mensaje que nos llegue fuera de lo común. La mayoría de las veces el sentido común es nuestra mejor arma en contra de la basura, el spam y los intentos de fraude.

Saludos

Para más información puedes acceder directamente el sitio de seguridad en Facebook

http://www.facebook.com/security

Frustrado el atentado al presidente Felipe Calderon – Correo falso

Otro correo más con un troyano. Después de haber recibido, con éste, 3 correos que direccionaban a una página de CNN y notando como iban evolucionando. Desde un sitio mediocre hasta uno, más o menos creíble y bien hecho, llega éste con remitente falso como si lo enviara el periódico mexicano «El Universal»

Al hacer clic en cualquiera de las ligas del mismo ya ni siquiera abre un sitio que parezca de CNN. Simplemente abre una ventana de descarga donde un archivo ejecutable con el nombre «Video Testigo.exe» es detectado oportunamente por el Kaspersky Internet Security como un

Trojan-Dropper.Win32.VB.dvf

Cabe mencionar que dicho Troyano sólo consitutye una amenaza para la plataforma Windows, quedando exentas Mac y Linux que podrian ser las plataformas de más uso después del sistema de Microsoft.

Saludos

CNN Top 10 / Alerts – Correo falso

Hoy me llegaron dos correos con imágenes exactamente iguales que parecían ser los correos que envía CNN denominados «The daily top 10».

La primera parte que está sombreada en azul apunta al mismo sitio en cada correo. Es decir, cualquier liga a la que se le dé clic lleva al mismo lugar.

Sin embargo, cada correo apunta a distintos dominios.

La segunda parte apunta al sitio real de CNN en Estados Unidos a su respectiva liga:

– Privacy guidelines

– Contact us

– Manage settings

Al sitio que llevan las ligas falsas. Muestran una página con fondo negro y un logo mal colocado de CNN donde supuestamente se reproduciría un video.

Pero inmediatamente aparece una ventana que emula una ventana que podría desplegar el reproductor de Flash solicitando se actualice la versión para poder reproducir el video.

Esa actualización de Flash no es tal sino un troyano:

Trojan-Downloader.JS.Psyme.ake

Si uno no acepta la descarga vuelve a aparecer una ventana, esta vez de JavaScript con el mensaje:

«You need to download proper Codec to play this movie. Click ‘OK’ to start download.»

Presionas cancelar y luego aparece el mensaje

«Please install proper Codec.»

Regresando al mensaje original que finalmente obliga o a cerrar la ventana o a cerrar el navegador ya que no deja hacer nada más.

Otro mensaje que llegó el día de hoy es también de CNN pero es sólo un mail alert. En él sólo la liga que es de la historia completa «Full Story» es la que lleva al sitio falso que busca descargar el Troyano (Trojan-Downloader.Win32.Exchanger.la) y esta vez está en Rusia.

Aquí ya se empeñaron un poquito más en poner el fondo blanco para que el logo se viera mejor y una cantidad considerable de links y rellenos maquillados para hacerlo parecer más real. Lo que parece sin lugar a dudas más real es la Pop-up que indica que la versión de Flash es incorrecta.

En el caso del navegador que uso: Opera, la ventana de JavaScript tiene una opción donde uno puede desactivar la ejecución de los Scripts para casos como éste donde el sitio es fraudulento o cuando está mal programado.

Nuevamente, Kaspersky Internet Security 2009, frenó el ataque en su módulo «Web Traffic» e indicó  oportunamente la presencia del Troyano.

Aquí lo puedes descargar

Saludos

Tarjeta Metropostal – Correo falso

null

Agotados los recursos de Gusanito, NIX y otros ahora recurrieron a Metropostal.

Te llega un correo con una pantalla similar a la que aparece aquí. El texto, evidentemente escrito al «aventón» dice:

«Una perona especia te ha enviado…»

O sea que una perrona especie te ha enviado una postal?

Si se hace clic en el vínculo, no te lleva a la dirección que aparece debajo y supuestamente te llevaría a la susodicha postal. Te envía a un sitio mal hecho y mediocre con un contador donde te pide que descargues la última actualización del «Macromedia Flash Player»

Macromedia???? Debería ser Adobe Flash Player y esto ya no sucede, si no tienes las versiones 7 en adelante, ni siquiera tienes que ir al sitio a descargarlo, la página te redirecciona automáticamente o en su defecto se autoinstala sin que tú tengas que salir del sitio donde se encuentra tu animación. Evidentemente es falso.

Supuesta descarga de flash

Supuesta descarga de flash

El supuesto archivo que sale de aquí es  «InstallFlashPv9.3.exe»

Pero internamente el archivo es un proyecto de nombre «best.exe»

Sin firma digital,  sin identificadores del fabricante. Nada.

Así como ayer, estoy esperando el diagnóstico del laboratorio antivirus para saber qué es lo que tiene dentro. Aunque la evidencia hasta ahora, apunta a que seguramente, si lo abres, te encontrarás con un troyano.

El reporte indica que el archivo contiene un Trojan-Downloader.Win32.Exchanger.fd

De aquí puedes bajar herramientas para quitarlos
http://www.kaspersky.com/removaltools

Y de aquí la versión de prueba completamente de la aplicación que yo tengo (Kaspersky Internet Security 2010) completamente funcional. Selecciona licencia de prueba cuando lo instales y te dará 30 días de licencia.

ftp://ftp.kaspersky.com/products/spanish/homeuser/kis2010/kis9.0.0.736es.exe

Suerte