Maliciosa postal que se recibe a través del Messenger, enviada por un amigo.

Otra “postal” que se recibe como una felicitación de un amigo a través del Messenger, y por supuesto quien aparece que se lo está enviando, no sabe nada de ello.

Esta vez se trata de una página falsa de metropostales.com, que su dirección URL es la siguiente:

http://www.<interceptado>.com/mt/db/metropostales/index.php?id=PostalDiciembre

La imagen del sitio web falso, es la siguiente

Al pulsar en el link intenta descargar un ActiveX:

Para visualizar este sitio necesita tener instalado ActiveX control de: ‘Java Sun’ de ‘Java Update 6′. Por favor clic aqui para instalarlo, solo le tomara 5 segundos…

que en realidad es un malware:

Nombre del archivo: TarjetaDibiembre-2987342.exe
File Size: 203532 bytes
MD5   : 3bae960c93507af9fda6460563889ced

y por otro lado ofrece la descarga de la postal, otro malware
File x-raypc.exe received on 2009.12.25 05:45:53 (UTC)
Current status: finished
Result: 3/40 (7.5%)

File size: 348928 bytes
MD5   : df5ba440e4384adcd1a0bf653da84387
que son por ahora:

CAT-QuickHeal 10.00 2009.12.24 (Suspicious) – DNAScan
ClamAV 0.94.1 2009.12.25 PUA.Packed.ASPack212
F-Secure 9.0.15370.0 2009.12.24 Suspicious:W32/Riskware!Online
El lunes, cuando volvamos al trabajo en SATINFO, los monitorizaremos e implementaremos su control y eliminacion en el ELISTARA, pero de momento ya se puede controlar y eliminar con nuestro ELIMD5 entrando sus hashes identificativos: 

df5ba440e4384adcd1a0bf653da84387

3bae960c93507af9fda6460563889ced

(uno a uno en cada exploracion)

en dicha utilidad:

Descarga de ELIMD5:

http://www.satinfo.es/db/antivirus/utilitats/elimd5.exe

Ello las moverá a C:\muestras y eliminará de donde estuvieran, de manera que tras el proximo reinicio ya no propagará mas felicitaciones a sus amistades.

Si reciben o han recibido dicho mensaje, sugerimos hacer lo indicado, dado que por ahora lo controlan muy pocos antivirus, conforme indicado

saludos y FELIZ NAVIDAD !

ms, 25-12-2009