Spam con supuesto enlace al youtube para ver “Michael.Jackson.videos.scr” pero redirigido a otra WEB mientras el downloader descarga malwares
McAfee nos avisa de la propagacion masiva de un malware a traves de ingenieria social, aprovechando la notoriedad del fallecimiento de Michael Jackson, a traves de toryid=6658&rss
El truco es ofrecer descargar el video “Michael.Jackson.videos.scr”, el cual instala el downloader de marras:
Vemos mas informacion al respecto en http://www.tucumanoticias.com.ar/noticia.asp?id=29802
Los técnicos ya encontraron correos electrónicos “spam” que ofrecen a los destinatarios enlaces a videos y fotografías no publicadas del cantante Michael Jackson. La muerte de Michael Jackson fue confirmada el jueves ppdo. Pero ya es utilizada como excusa.
El correo electrónico spam parece ofrecer un enlace a un video en YouTube, pero en cambio envía al destinatario un Trojan Downloader hospedado en un sitio Web de riesgo. El archivo que se ofrece se llama Michael.Jackson.videos.scr.
Este archivo está ubicado en un sitio Web legítimo hospedado en Australia que pertenece a una estación de radio.
Con la ejecución del archivo, el explorador predeterminado abre un sitio Web legítimo en http://musica.uol.com.br/ultnot/2009/06/25/michael-jackson.jhtm que tiene como objetivo distraer al usuario con la presentación de artículos noticiosos para leer.
Mientras tanto, el malware descarga e instala tres componentes más de robo de información. Uno de los archivos descargados se llama michael.gif, el cual tiene tasas bajas de detección AV. El malware entonces instala un BHO malicioso que está registrado con este archivo.
El analisis de VirusTotal sobre el fichero malware nos ofrece este informe:
File Michael.Jackson_videos_fotos.php. received on 2009.06.26 21:03:30 (UTC)
Current status: finished
Result: 13/41 (31.71%)
Compact Print results Antivirus Version Last Update Result
a-squared 4.5.0.18 2009.06.26 Trojan-Downloader.Win32.Adload!IK
AhnLab-V3 5.0.0.2 2009.06.26 –
AntiVir 7.9.0.199 2009.06.26 TR/Crypt.CFI.Gen
Antiy-AVL 2.0.3.1 2009.06.26 –
Authentium 5.1.2.4 2009.06.26 –
Avast 4.8.1335.0 2009.06.26 –
AVG 8.5.0.339 2009.06.26 Downloader.Banload.AMID
BitDefender 7.2 2009.06.26 Gen:Trojan.Heur.1024DBFEBF
CAT-QuickHeal 10.00 2009.06.26 –
ClamAV 0.94.1 2009.06.26 –
Comodo 1441 2009.06.26 –
DrWeb 5.0.0.12182 2009.06.26 –
eSafe 7.0.17.0 2009.06.25 –
eTrust-Vet 31.6.6582 2009.06.26 –
F-Prot 4.4.4.56 2009.06.26 –
F-Secure 8.0.14470.0 2009.06.26 –
Fortinet 3.117.0.0 2009.06.26 –
GData 19 2009.06.26 Gen:Trojan.Heur.1024DBFEBF
Ikarus T3.1.1.64.0 2009.06.26 Trojan-Downloader.Win32.Adload
Jiangmin 11.0.706 2009.06.26 –
K7AntiVirus 7.10.768 2009.06.19 –
Kaspersky 7.0.0.125 2009.06.26 –
McAfee 5658 2009.06.26 –
McAfee+Artemis 5658 2009.06.26 Artemis!664CB28EF710
McAfee-GW-Edition 6.7.6 2009.06.26 Trojan.Crypt.CFI.Gen
Microsoft 1.4803 2009.06.26 TrojanDownloader:Win32/VB.LI
NOD32 4193 2009.06.26 probably unknown NewHeur_PE
Norman 6.01.09 2009.06.26 –
nProtect 2009.1.8.0 2009.06.26 Trojan-Downloader/W32.Agent.28672.IT
Panda 10.0.0.16 2009.06.26 –
PCTools 4.4.2.0 2009.06.26 –
Prevx 3.0 2009.06.26 –
Rising 21.35.44.00 2009.06.26 –
Sophos 4.43.0 2009.06.26 Troj/Dloadr-CPD
Sunbelt 3.2.1858.2 2009.06.25 –
Symantec 1.4.4.12 2009.06.26 Downloader
TheHacker 6.3.4.3.355 2009.06.26 –
TrendMicro 8.950.0.1094 2009.06.26 –
VBA32 3.12.10.7 2009.06.26 –
ViRobot 2009.6.26.1806 2009.06.26 –
VirusBuster 4.6.5.0 2009.06.26 –
Additional information
File size: 28672 bytes
MD5 : 664cb28ef710e35dc5b7539eb633abca
SHA1 : 7b9ba0e08e59a798ceb555dbabb4a91f19952629
______
Complementamos esta informacion con la que vemos en alvne.wordpress.com :
Los Creadores de Virus Aprovechan la Muerte de Michael Jakson
Posted on Junio 28, 2009 by alvne
Se trata de spam (Correos electrónicos maliciosos o basura) que contiene un enlace hacia un aparente video en YouTube prometiendole al destinatario un video que jamás ha sido visto por nadie respecto a su muerte, el usuario al hacer click en el enlace es redireccionado a un sitio web con código malicioso que instala una serie de componentes de un virus.
El archivo ofrecido se llama Michael.Jackson.videos.scr (MD5: 664cb28ef710e35dc5b7539eb633abca). y se encuentra en un sitio legítimo en un servidor de Australia perteneciente a una estación de radio, al ejecutar el archivo este abre el navegador web predeterminado y lo redirecciona al sitio
http://musica.uol.com.br/ultnot/2009/06/25/michael-jackson.jhtm
cuyo objetivo es distraer al usuario con material de lectura sobre el cantante mientras se ejecuta el código malicioso.
Uno de los archivos descargados se llama michael.gif, el cual tiene tasas bajas de detección AV. El malware entonces instala un BHO malicioso que está registrado con este archivo %windir%/Dynamic.dll y este GUID {FCADDC14-BD46-408A-9842-CDBE1C6D37EB}.
Otro componente está destinado a iniciar en %windir%\system32\kproces.exe. Otro archivo malicioso instalado por el malware es %windir%\system32\fotos.exe.
Al menos estemos avisados y precavidos…
saludos
ms, 29-6-2009
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.