MAIL MUY PELIGROSO que está llegando a nuestros clientes (y demas usuarios, claro) – Y QUE CAUSA ADEMAS EL TIPICO DOBLE ACENTO RESIDUAL –

A  traves de mail llega uno similar a este:

_____________

De: Banco de Espana [BDEresponde@bde.es]
Enviado el: miércoles, 16 de junio de 2010 7:15
Para: <destinatario>
Asunto: Transferencia de 723.61 euros.
Estimado cliente, en su cuenta ha ingresado una transferencia de 723.61 euros. Remitente: Doncia Sedillo. ID de transacción: ES000372280554393. Siga el ENLACE  para consultar la información.

Atentamente, su Banco de España.

______________

Y en ENLACE hay un link con acceso a una web que redirige a otra rusa,

psdrv.ru : RU Russian Federation 48 Moscow City Moscow  55.7522 37.6156

la cual el Site Advisor de McAfee detecta como maliciosa:

psdrv.ru podría intentar robar su información personal.
¿Por qué se le ha redirigido a esta página?

Cuando visitamos este sitio, descubrimos que puede estar diseñado para engañarle y que envíe información personal o financiera a piratas informáticos en línea. Esta es una amenaza de seguridad grave que puede dar lugar a suplantación de identidad, pérdidas financieras o un uso no autorizado de su información personal.

y solicitando mas informacion, indica:
___________

Clasificación: Software publicitario, software espía o virus
This is a new scam site that is probably controlled by a criminal botnet that spreads spyware and runs phishing scams. Watch out for spyware (reportedly, a Zbot trojan) in the file tax-statement.exe or tax-statement-taxpayer_id_.exe in a spoof of the IRS.gov site.

The scam site currently traces to multiple IP addresses located around the world; this may be typical when the botnet has “infected” many people’s computers and controls the DNS provider(s). Its domain is registered through “NAUNET-REG-RIPN” (naunet.ru); its DNS providers are listed as
ns1.growth-property.net (IP 173.212.254.194)
ns2.growth-property.net (IP 195.21.131.11)
ns1.pointstory.net (IP 173.212.254.194)
ns2.pointstory.net (IP 73.51.151.58)

Watch out for phishing scams and other malware on this site.

Thanks to phishtank.com and its contributors for catching this. For a safe-to-view screenshot of the scam, see

http://screenshots.phishtank.com/phish_screenshots/1/0/1003091.gif

Cross-reference: other sites that seem to be participating in this scam include msdll.ru and pdll.ru
______________

Es muy típico que a través de simular envios de transferencias ofrezcan pulsar en un link que redirige a una web que conduce a otra, para dificultar la detección y control del destino, y por ello recomendamos el uso del SiteAdvisor de McAfee (www.siteadvisor.com) que mediante una base de datos al respecto, controla en lo posible los accesos a sites indeseables, como es el caso.

Aparte se recuerda una vez mas lo peligroso de abrir ficheros anexados a mails no solicitados, o pulsar en links o en imagenes de dichos mails, y tener presente que un 85 % de los mails que circulan por internet son maliciosos, y que equivalen a mas de 100.000 millones de mails diarios !!!

saludos

ms, 17-6-2010

ANEXO:

En los ordenadores en los que se ha ejecutado dicho link se crea una clave de registro que lanza un malware

A partir del ELISTARA de hoy pediremos muestra de los ficheros lanzados en claves que carguen aplicaciones con dicha configuración, que se ubican en carpeta variable y con nombre de fichero variable y hasta ahora no sabiamos lo que las generaba, y probablemente sea por ejecutar el link de dichos mails, y seguramente el usuario en cuestion ahora le salgan dos acentos (l”apiz) cuando quiere acentuar escribiendo en el word o en el notepad.   Tras añadir .VIR a la extensión de dicho fichero y reiniciar, esperamos desaparecerá el problema.

Igualmente tras lanzar el ELISTARA 21.18  de hoy, ejecutandolo desde el usuario habitual, se moverá dicho fichero a C:\muestras, pidiendo que se nos envie para controlarlo, y tras reiniciar ya quedará solucionado lo del doble acento, si es el caso.

ms.