Nuevo ataque informático relacionado con el Nobel de la Paz

OSLO — Una falsa invitación a la ceremonia de entrega del premio Nobel de la Paz, que circula actualmente por correo electrónico, contiene un virus que puede contaminar el ordenador de los destinatarios, advirtieron especialistas en seguridad informática.

Enviado en apariencia por Oslo Freedom Forum, una organización que existe, pero que no está directamente ligada al Nobel, el correo electrónico contiene un archivo en formato PDF.

La apertura de este archivo provoca la instalación de un ‘caballo de Troya’, un programa que permite al agresor tomar a distancia el control del ordenador, según el blog especializado Contagio (http://contagiodump.blogspot.com).

Atribuido este año al disidente chino encarcelado Liu Xiaobo, decisión que molestó al régimen chino, el Nobel de la Paz debe ser entregado el 10 de diciembre en la capital noruega.

Hace dos semanas, la página en internet del premio Nobel de la Paz fue objeto de un ataque informático procedente de Taiwán, menos de tres semanas después de la atribución de la prestigiosa recompensa al disidente Liu Xiaobo.

Fuente

File name: adobeupdate.exe
Submission date: 2010-11-10 19:49:23 (UTC)
Current status: finished
Result: 15 /43 (34.9%)
 VT Community

not reviewed
 Safety score: – 
Compact Print results

There is a more up-to-date report (15/43) for this file.

Antivirus Version Last Update Result
AhnLab-V3 2010.11.10.02 2010.11.10 –
AntiVir 7.10.13.204 2010.11.10 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.11.10 –
Authentium 5.2.0.5 2010.11.10 W32/Heuristic-257!Eldorado
Avast 4.8.1351.0 2010.11.10 –
Avast5 5.0.594.0 2010.11.10 –
AVG 9.0.0.851 2010.11.10 –
BitDefender 7.2 2010.11.10 Gen:Trojan.Heur.RP.cqW@a8FFwjdb
CAT-QuickHeal 11.00 2010.11.09 –
ClamAV 0.96.4.0 2010.11.10 –
Comodo 6676 2010.11.10 –
DrWeb 5.0.2.03300 2010.11.10 BACKDOOR.Trojan
Emsisoft 5.0.0.50 2010.11.10 –
eSafe 7.0.17.0 2010.11.09 –
eTrust-Vet 36.1.7966 2010.11.10 –
F-Prot 4.6.2.117 2010.11.10 W32/Heuristic-257!Eldorado
F-Secure 9.0.16160.0 2010.11.10 Gen:Trojan.Heur.RP.cqW@a8FFwjdb
Fortinet 4.2.249.0 2010.11.10 –
GData 21 2010.11.10 Gen:Trojan.Heur.RP.cqW@a8FFwjdb
Ikarus T3.1.1.90.0 2010.11.10 –
Jiangmin 13.0.900 2010.11.10 –
K7AntiVirus 9.67.2940 2010.11.09 Riskware
Kaspersky 7.0.0.125 2010.11.10 Heur.Invader
McAfee 5.400.0.1158 2010.11.10 –
McAfee-GW-Edition 2010.1C 2010.11.10 Heuristic.BehavesLike.Win32.Trojan.H
Microsoft 1.6301 2010.11.10 Trojan:Win32/Wisp.A
NOD32 5608 2010.11.10 probably a variant of Win32/Wisp.A
Norman 6.06.10 2010.11.10 –
nProtect 2010-11-10.01 2010.11.10 –
Panda 10.0.2.7 2010.11.10 Suspicious file
PCTools 7.0.3.5 2010.11.10 –
Prevx 3.0 2010.11.10 –
Rising 22.73.02.06 2010.11.10 –
Sophos 4.59.0 2010.11.10 Mal/Mdrop-B
Sunbelt 7274 2010.11.10 –
SUPERAntiSpyware 4.40.0.1006 2010.11.10 –
Symantec 20101.2.0.161 2010.11.10 –
TheHacker 6.7.0.1.081 2010.11.10 –
TrendMicro 9.120.0.1004 2010.11.10 –
TrendMicro-HouseCall 9.120.0.1004 2010.11.10 –
VBA32 3.12.14.1 2010.11.09 suspected of Win32.Trojan.Downloader
ViRobot 2010.10.30.4121 2010.11.10 –
VirusBuster 12.72.7.1 2010.11.10 –
Additional informationShow all 
MD5   : 27ba4695567a60f25a32bab240b3b832
SHA1  : 8f9e5aee02a4b340faae1a8057db419a34ace951
File size : 37376 bytes

Si se sospecha de haberlo recibido y ejecutado, con el ELIMD5, entrando cualquiera de los hashes indicados al final del informe, por ejemplo 27ba4695567a60f25a32bab240b3b832 se detecta y mueve a C:\muestras, con lo que ya no se cargará a partir del siguiente reinicio

Tras ello, enviarnos el contenido de c:\muestras\ para analizar

saludos

ms, 11-11-2010