VirusBlokAda

June 17, 2010

Mail muy peligroso que está llegando a nuestros clientes (y demas usuarios, claro) – y que causa ademas el tipico doble acento residual –

Filed under: Antivirus — Jose @ 10:02 pm

A traves de mail llega uno similar a este:

__________

De: Banco de Espana
Enviado el: miércoles, 16 de junio de 2010 7:15
Para: <destinatario>
Asunto: Transferencia de 723.61 euros.

Estimado cliente, en su cuenta ha ingresado una transferencia de 723.61 euros. Remitente: Doncia Sedillo. ID de transacción: ES000372280554393. Siga el ENLACE para consultar la información.

Atentamente, su Banco de España.

____________

Y en ENLACE hay un link con acceso a una web que redirige a otra rusa,

psdrv.ru : RU Russian Federation 48 Moscow City Moscow 55.7522 37.6156

la cual el Site Advisor de McAfee detecta como maliciosa:

psdrv.ru podría intentar robar su información personal.
¿Por qué se le ha redirigido a esta página?

Cuando visitamos este sitio, descubrimos que puede estar diseñado para engañarle y que envíe información personal o financiera a piratas informáticos en línea. Esta es una amenaza de seguridad grave que puede dar lugar a suplantación de identidad, pérdidas financieras o un uso no autorizado de su información personal.

y solicitando mas informacion, indica:

___________

Clasificación: Software publicitario, software espía o virus

This is a new scam site that is probably controlled by a criminal botnet that spreads spyware and runs phishing scams. Watch out for spyware (reportedly, a Zbot trojan) in the file tax-statement.exe or tax-statement-taxpayer_id_.exe in a spoof of the IRS.gov site.

The scam site currently traces to multiple IP addresses located around the world; this may be typical when the botnet has "infected" many people’s computers and controls the DNS provider(s). Its domain is registered through "NAUNET-REG-RIPN" (naunet.ru); its DNS providers are listed as
ns1.growth-property.net (IP 173.212.254.194)
ns2.growth-property.net (IP 195.21.131.11)
ns1.pointstory.net (IP 173.212.254.194)
ns2.pointstory.net (IP 73.51.151.58)

Watch out for phishing scams and other malware on this site.

Thanks to phishtank.com and its contributors for catching this. For a safe-to-view screenshot of the scam, see

http://screenshots.phishtank.com/phish_ … 003091.gif

Cross-reference: other sites that seem to be participating in this scam include msdll.ru and pdll.ru
______________

Es muy típico que a través de simular envios de transferencias ofrezcan pulsar en un link que redirige a una web que conduce a otra, para dificultar la detección y control del destino, y por ello recomendamos el uso del SiteAdvisor de McAfee (http://www.siteadvisor.com) que mediante una base de datos al respecto, controla en lo posible los accesos a sites indeseables, como es el caso.

Aparte se recuerda una vez mas lo peligroso de abrir ficheros anexados a mails no solicitados, o pulsar en links o en imagenes de dichos mails, y tener presente que un 85 % de lkos mails que circulan por internet son maliciosos, y que equivalen a mas de 100.000 millones de mails diarios !!!

saludos

ms, 17-6-2010

ANEXO:

En los ordenadores en los que se ha ejecutado dicho link se crea una clave de registro que lanza un malware

A partir del EliStarA de hoy pediremos muestra de los ficheros lanzados en claves que carguen aplicaciones con dicha configuración, que se ubican en carpeta variable y con nombre de fichero variable y hasta ahora no sabiamos lo que las generaba, y probablemente sea por ejecutar el link de dichos mails, y seguramente el usuario en cuestion ahora le salgan dos acentos (l”apiz) cuando quiere acentuar escribiendo en el word o en el notepad. Tras añadir .VIR a la extensión de dicho fichero y reiniciar, esperamos desaparecerá el problema.

Igualmente tras lanzar el EliStarA 21.18 de hoy, ejecutandolo desde el usuario habitual, se moverá dicho fichero a C:\muestras, pidiendo que se nos envie para controlarlo, y tras reiniciar ya quedará solucionado lo del doble acento, si es el caso.

ms.

No Comments

No comments yet.

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.

Powered by WordPress