Facebook Account Update – Correo Falso

Desde hace unas semanas está llegando un correo en inglés alegando ser de Facebook.

El texto se traduce así:

«Querido usuario de Facebook, en un esfuerzo de hacer tu experiencia en línea más segura y disfrutable, Facebook estará implementando un sistema de firmado que afectará a todos los usuarios de Facebook. Estos cambios ofrecen nuevas características y un aumento en la seguridad de tu cuenta.

Antes de que uses el nuevo sistema, necesitamos que actualices tu cuenta. Haz clic aquí para actualizar tu cuenta en línea.

Bla bla bla»

Donde haces clic te lleva a una URL que empieza con http://www.facebook.com.xxx…. lo que sigues después de las xxx es un dominio que no tiene nada que ver con Facebook.

Pistas de que es un correo falso

– El correo evidentemente no llega de Facebook aunque el remitente eso indica «Facebook [update+yhlemnuad@facebookmail.com]» (1) Qué dominio es ese de facebookmail.com, pero quién no está metido en estos rollos, le puede parecer correcto.

– Sin embargo, revisando el encabezado del correo – generalmente oculto – se aprecia que de donde llega el correo es de un dominio en rusia slamdunk.ru (2) pocos tenemos activo el visualizar el encabezado completo del correo, pero para quién lo tenga, tiene el segundo elemento de sospecha: ¿porqué llega de Rusia y no de Estados Unidos?

– Si navegas por el famoso e infame Internet Explorer en cualquiera de sus sabores podrás, como ha sido costumbre, entrar sin problemas al sitio fraudulento. Éste se presenta prácticamente igual a la ventana de login del Facebook real.

En el campo de e-mail, coloca tu correo en automático. Tal vez te llegó a hotmail y tu cuenta de Facebook la diste de alta en Gmail, (3) otro punto para sospechar.

Cada link distinto al botón login, te lleva al sitio real de Facebook.

– Un medio punto a favor de Internet Explorer 8 es, que resalta la parte del dominio que sale de lo común

Por lo menos ahí también podría hacerte sospechar. (4) Todas las direcciones de facebook, incluyendo las aplicaciones tienen una «/» después del «.com»

Si pones cualquier contraseña, evidentemente se va a almacenar y se la va a mandar algún bastardo en rusia o en otro lugar. Pero sí pones tus datos correctos para firmarte en facebook, seguramente tu cuenta se usará para mandar spam. 😦

– Al final te presenta esta página donde te reiteran la «jalada» de la seguridad y te piden que descargues la súper herramienta «updatetool.exe» (5) Si todo el sistema de Facebook se basa en Web, permitiéndote acceder desde dispositivos múltiples, ¿porqué tienes que bajar este programa? ¿Qué pasa cuando trate de entrar por mi teléfono? Raro ¿’no?

Si no cuentas con antivirus seguro lo ejecutas y tendrías en tu computadora un HEUR:Trojan.Win32.Generic 😦

Nuevamente, la mejor forma de protegernos contra fraudes es informarnos.

Gracias por leer esta entrada 🙂

R@U

Short link para esta entrada: http://wp.me/pc17m-bt

Actualización 5 de Noviembre 2009

Estos correos están llegando con diversos Asuntos y Remitentes:

De: Your Facebook Support
Asunto: Facebook Password Reset Confirmation. Customer Message.

Éste llega con un archivo zip adjunto «Facebook_details_0d7df.zip» adentro del zip se encuentra el ejecutable «Facebook_details_0d7df.exe» el cual tiene el troyano.

Update for Microsoft Outlook – Correo falso

Hoy me llegó un correo que ya había sido enviado meses atrás indicando de una actualización para Outlook y Outlook express. Le dabas clic a un link que podría parecer de Microsoft y te llevaba a descargar un troyano espía. Así es como se ve el correo

Aunque para los que estamos metidos en la computadora varias horas al día es ridícula una actualización para ambos Outlook al mismo tiempo, para una usuario común no lo es.

Al seguir la liga a eso de las 10AM, noté que Firefox la tenía ya reportada como falsa 🙂

Pero Internet Explorer 8 aún con su famoso filtrado «SmartScreen» te deja entrar y si lo obligas a comprobarlo te dice que no notificó amenzas 😦 Así que «aguas!»

Finalmente si de plano tienes mala suerte, no viste este post, llegas a descargar el archivo, si cuentas con Kaspersky Internet Security 2009 u otro antivirus de «verdad» 😉 será detectado de inmediato sin dejarte si quiera guardarlo en tu disco duro.

Los productos de Kaspersky los puedes descargar de este liga

ftp://ftp.kaspersky.com/products/spanish_latam/homeuser/

KAV es para el Antivirus y KIS para el Internet Security

Es importante mencionar que aún con antivirus, es posible que el programa, sitio o código malicioso pueda infectar tu equipo. La mejor arma para estas situaciones es el conocimiento y el sentido común. Antes de descargar algo y ejecutarlo en tu computadora, detente un momento a revisar la dirección de donde proviene, infórmate en medios como éste si es que alguien ha tenido alguna experiencia al respecto y finalmente decide que es lo más seguro.

Buen casi fin de semana

Tarjetas postales electrónicas en Messenger – Troyano

Chateando con una amiga en el Live Messenger durante la conversación parecío que me escribió

Mira la tarjeta que te hice http://bubbatarjetas.xxxxxxxxxx.xxxxxxxxxx

Como el link es genérico (sin parámetros o variables que indicaran que la supuesta tarjeta fue personalizada) me hizo pensarlo dos veces. Al hacer clic sobre la liga me apareció el ya conocido diálogo que no es de Adobe Flash donde tengo que actualizar la versión.

Obviamente te pide descargar un archivo sin firma digital y de nombre «Flash-Installer-Windows.exe»

El antivirus ni se inmutó, así que debe ser una variante que posteriormente aparecerá en las actualizaciones.

Mucho cuidado con lo que reciben aunque sea de parte de personas conocidas.

Abur

Actualización 7 de Julio 09

Prové en una PC Virtual a ver qué sucedía si ejecutaba el susodicho instalador. Las dos pruebas fueron así:

Primera prueba -> Sin Antivirus

– Prácticamente todos los ejecutables en la PCV fueron inoculados con el virus (Virus.Win32.Virut.ce) un verdadero dolor de cabeza.
– Los archivos que se salvaron fueron aquellos en uso: explorer.exe, msnmsgr.exe, pero al momento de reiniciar fueron infectados de inmediato.
– El Live Messenger tronó por todos lados, extraño porque por ahí es por donde llega. Tal vez la instalación del Messenger Plus! logró que no se iniciara.

Al ejecutar NOD32 Business Edition, éste detectó los archivos infectados, pero al ser tantos, simplemente se atoró el equipo y dejó de funcionar. Hubo que presionar el botón de encendido por unos segundos para apagarlo.

Segunda prueba -> Antivirus NOD32 Business Edition 2009 ACTIVADO

– Al momento de ejecutarse el instalador, NOD32 detectó 3 archivos de inmediato pero entró en un ciclo que provocó que el equipo colapsara. Cada archivo infectado era detectado, pero fueron tantos al mismo tiempo que no hubo oportunidad para salvar el equipo 😦

– Al reiniciar el equipo trataba de enviar el diálogo de NOD32 de infección de archivos, pero después de 30 minutos en el mismo estado, hubo que apagarlo.

–  Mismo efecto al reiniciar en «Modo Seguro»

Cómo deshacerse de él? Este caso puede ser único ya que no infectó completamente el equipo, detallaré las condiciones usando Kaspersky Internet Security 2009 ACTIVADO

– Arrancó el instalador y KIS detectó los mismos 3 archivos que NOD32 (el maldito log tronó y no supe cuáles fueron)

– El equipo empezó a colapsar por lo que use el Administrador de tareas para tirar el proceso Flash-Installer-Windows.exe ycon el KIS bloqueé eltráfico de red ya que empezó a descargar Trojan.Downloader.

– Cerré el equipo y arranqué en «Modo Seguro» ejecutando KIS y un análisis completo del equipo. En menos de 10 segundos que duró el incidente, había más de 300 archivos incluyendo varios de sistema infectados con el virus (Virus.Win32.Virut.ce)

–  Después de unas 4 reiniciadas y 4 re escaneos, el equipo parece recuperado. Otra cosa que se puede hacer es el sacar el disco duro y conectarlo por USB a otro equipo y pasarle un scan completo. El adaptador se puede obtener comprando un disco externo 5.25″ y desarmándolo. No tiene gran ciencia ya que el conector de datos y el de energía son idénticos al de una PC. Aplica lo mismo para notebook.

– Cabe mencionar que Live Messenger no quedó del todo bien ya que produce errores o se cierra cada cierto tiempo. KIS sigue de repente encontrando rastros del virus en ejecutables incluso dentro  de archivos comprimidos (ZIP y RAR)

Saludos

Circula por Internet video de ejecución del alcalde Otaez – Correo falso

No se cansan de tratar de infectar con troyanos los equipos de los mexicanos. Ni se cansarán. Ya que el morbo y la desinformación es una característica de la mayoría de los cybernautas de todo el mundo. Y en México, está aderezada con todos los eventos por la inseguridad que reina.

Esta mañana llega un correo con el título: «Circula por Internet video de ejecución del alcalde Otaez (Durango)»

Demasiado simplista y con una liga «equis» a Ver el vídeo.  Como se muestra en la imagen inicial de esta entrada.

El remitente evidente: Periodico Reforma [notas@periodicoreforma.com]

El remitente real: nobody@cpanel2.xdominio.com

Ya desde ahí ya se sabe que no es real. Si se da clic a la liga para ver el video. Se despliega una dirección que nada tiene que ver con el periódico Reforma y se muestra la ya chafa y socorrida ventana de un video que se quiere cargar. Obviamente, si realmente hiciera falta el conector de flash para verlo, no saldría ni siquiera el cuadro éste chafa de «Loading»

E inmediatamente después la otra ventana chafa de que la versión es «incorrecta» dizque de flash y que aunque hagamos clic en cancelar, no nos deja de otra más que aceptar la dizque actualización a la versión «correcta».

Si  ya le diste clic a la liga lo que se debe de hacer es cerrar el Internet Explorer. Dado que no te va a dejar hacerlo sigue los siguientes pasos:

1. Presiona la combinación de teclas Alt + Ctrl + Supr para desplegar el «Administrador de Tareas»

2. De la lista de Procesos búscate «iexplore.exe» y luego haz clic en «Terminar proceso»

En este caso sale a nuestra salvación un buena suite antivirus. En este caso. El Kaspersky Internet Security 2009 lo detectó de inmediato y ni dejó abrir la ventanaidentificándolo como un Troyano Genérico.

No dejaré de insistir que un antivirus «de verdad» y no gratis, son de las inversiones (40USD) que debemos hacer a neustro equipo, además de un buen UPS.

Saludos

Virus en correo falso de Madonna haciendo declaraciones acerca de mexicanos – Correo falso

Aprovechando la víspera de la llegada de Madonna a México y la curiosidad y el morbo de la gente, llegó ahora un correo supuestamente del programa de chismes y estupideces que no sé cómo en nuestros días todavía tiene audiencia de TV «la Oreja»

Tiene como título «Madonna dice que los mexicanos somos los más feos del mundo.!‏» Algo que no creo que Madonna siendo un ser pensante y ni teniendo mil arranques de ira o depresión, hubiera declarado en público, en entrevista y menos a un reportero mexicano.

El correo podría confundir a más de uno, sin embargo tiene los siguientes detalles:

– El remitente es «info@hi5.com«. Primeros indicios de que el correo es falso.

– Es patrocinado por «Box.net«??? que es un sitio dedicado a almacenar archivos de cualquier tipo… desde fotografías hasta virus como es el caso. Y ya quisiera «La Oreja» que fuera patrocinada por ellos.

– La leyenda de derechos de autor data del 2004 :O ¿¿¿Cuatro años antes??? ¿Descuido?

– Cualquiera de las ligas a la que hagas clic, te lleva, irremdiablemente, a descargar el archivo «noticias.exe» de 30KB. A las 8:30AM de 3 antivirus, ninguno lo identificó como amenaza. Sin embargo lo puse a prueba en una máquina virtual y casualmente el archivito tiene comportamiento de Troyano.

Hay que desconfiar de cualquier correo no solicitado y más si viene de la Oreja jaja cuando eres un ser pensante y prefieres usar el tiempo de tu vida en algo que aporte.

Si te pide descargar algo, que no sea con las extensiones .exe, .vbs, .cmd, .bat o .com en el caso de las PCs con cualquier versión de Windows – aunque Vista reacciona distinto – Los usuarios de Mac o Linux no tienen de qué preocuparse.

Saludos

Actualización: Confirmado por Kaspersky Labs. El programa es un Trojan.Win32.VB.hcs

Como eliminarlo:

1. Reinicia tu computadora y después de la pantalla negra del POST donde se presenta, ya sea, información del motherboard, del BIOS, Memoria, etc. presiona la tecla F8 para que aparezca el menú de inicio de Windows.

2. Del menú selecciona «Modo seguro» o «Modo a prueba de fallos» arrancará Windows con una resolución de pantalla grande (640 x 480) con los colores mínimos (16 colores) pero está bien.

3. Abrir un explorador de Windows y buscar los archivos «winrun.exe» y «winlogin.exe» Asegúrate de tener activado el mostrar archivos ocultos y de sistema operativo. (Menú Herramientas -> Opciones -> Ver -> «Mostrar todos los archivos y carpetas ocultos» y Desactivar «Ocultar archivos protegidos del sistema operativo»

4. Bórralos

5. Inicio -> Ejecutar y en el campo de  «Abrir» poner «regedit.exe» sin las comillas.

6. Buscar la clave HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\Current Version\Windows y del lado derecho dentro de «load» borrar el valor y dejarlo en blanco. Cerrar regedit

7. Localiza el archivo «hosts» C:\Windows\System32\drivers\etc ábrelo con un «Bloc de notas», borra todo su contenido y guárdalo.

8.  Reinicia.

Realiza un scan en línea para verificar la existencia de algún malware. Kaspersky scanner online

Saludos