El correo actúa como carnada para que los usuarios pulsen y descarguen la postal de felicitación. Existen varias versiones del mensaje no deseado, pero la diferencia principal es la ubicación donde se almacena el código malicioso.
En todas las versiones descubiertas hasta el momento, el nombre del archivo siempre es "mexico.exe", y el MD5 (algoritmo del resumen del mensaje 5) es "ce073c460ec25d7e40efe3f717f75c38".
En todas las muestras, el archivo se ha almacenado en sitios Web cuya seguridad ha sido comprometida. Si los usuarios pulsan sobre la liga y corren el código, se abre una ventana del buscador en Univision.com como medio para esconder lo que está sucediendo en el fondo. El código malicioso también se conecta a uno o más sitios Web adicionales para descargar un archivo binario adicional, "file56.gif", que en realidad es un ejecutable de Windows. El código "file56.gif" puede provenir de cualquiera de los cinco sitios comprometidos, y se baja al directorio del sistema32 de Windows, con el nombre de "html.txt"; luego, es renombrado como "html.exe" y corre en el equipo.
La carga del código está escrita en Delphi y comprimida con RLpack, y llega deshabilitar el Administrador de Tareas, borrar el archivo huésped, y cambiar algunas opciones de arranque y del menú de inicio que incluye un componente que roba información. Para detalles adicionales e información de cómo detectar y prevenir este tipo de ataque visite: http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=809.
En todas las versiones descubiertas hasta el momento, el nombre del archivo siempre es "mexico.exe", y el MD5 (algoritmo del resumen del mensaje 5) es "ce073c460ec25d7e40efe3f717f75c38".
En todas las muestras, el archivo se ha almacenado en sitios Web cuya seguridad ha sido comprometida. Si los usuarios pulsan sobre la liga y corren el código, se abre una ventana del buscador en Univision.com como medio para esconder lo que está sucediendo en el fondo. El código malicioso también se conecta a uno o más sitios Web adicionales para descargar un archivo binario adicional, "file56.gif", que en realidad es un ejecutable de Windows. El código "file56.gif" puede provenir de cualquiera de los cinco sitios comprometidos, y se baja al directorio del sistema32 de Windows, con el nombre de "html.txt"; luego, es renombrado como "html.exe" y corre en el equipo.
La carga del código está escrita en Delphi y comprimida con RLpack, y llega deshabilitar el Administrador de Tareas, borrar el archivo huésped, y cambiar algunas opciones de arranque y del menú de inicio que incluye un componente que roba información. Para detalles adicionales e información de cómo detectar y prevenir este tipo de ataque visite: http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=809.
No hay comentarios:
Publicar un comentario