Saludos:

Siempre los escándalos atraerán poderosamente la atención de las personas, y mucho más si se tratan de personajes que en apariencia no tendrían porque ocasionarlos. Creo que esto resume a este "engaño".

-> El correo electrónico:

Las URLs utilizadas en el correo electrónico son las siguientes:

http://commercialprintanddistribution.com/formgenerator/forms/files/www....
http://www.larepublica.com.pe/templates/larepublica_digital/images/heade...
http://videos.eluniversal.com.mx/pininoNetv2.swf
http://www.elcorreo.ca/elcorreo/imgs/story/PERU.jpg
http://tupamaro-trujillo.nireblog.com/blogs/tupamaro-trujillo/files/alan...
http://videos.eluniversal.com.mx/img/sobre1.gif
http://videos.eluniversal.com.mx/img/amigo1.gif
http://img517.imageshack.us/img517/5636/frhm3.gif

-> Las cabeceras del correo electrónico:

Las cabeceras del correo electrónico revelan la siguiente información:

* Subject: ¡¡¡¡Cuernos en la cabeza de nuestra nacion peruana!!!!

Asunto escándaloso, para maximinar el número de posibles victimas en el engaño, utilizando a nuestra primera dama para tál propósito.

* From: LA REPUBLICA info@hi5.com

¿Si es de La República, para que utilizar una dirección de hi5.com? Obvio es un engaño. ¿Han notado que también hay SPAM Peruano que utiliza esta misma táctica de utilizar el remitente simulando provenir de hi5.com?

* Received: (from www@localhost)
by webser.securesites.net (8.13.6.20060614/8.13.6/Submit) id m8MJVqVI032350;
Mon, 22 Sep 2008 13:31:52 -0600 (MDT)

El correo fué procesado por el servidor webser.securesites.net

* X-PHP-Script: klemin.org/phpform/use//phpforms/files/mailer.php for 200.106.123.82

Esta es una de las partes más interesantes, dado que revela el script utilizado, la URL, y la dirección IP utilizado para enviar el correo electrónico.

La dirección IP pertenece a TdP.

-> El Malware:

Se envía la muestra a VirusTotal y estos son los resultados:

http://www.virustotal.com/analisis/f2dd325922e42841d6a221be01b6c6b8

Se envía la muestra a ThreatExpert, y esos son los resultados:

http://www.threatexpert.com/report.aspx?md5=16b392bbf8fec23a8daebcf6f6dd...

Al realizar una consulta WHOIS a la dirección IP 64.32.29.208 del archivo hosts se obtiene la siguiente información:

Algo interesante:

network:OrgName:DIFUNDEME-HOTMAILCOM
network:Country:Peru
network:OrgAbuseEmail:difundeme@hotmail.com
network:OrgTechEmail:timt@sharktech.net

En los resultados del Malware se puede observar lo siguiente:

El contenido del archivo host modificado que redirecciona a dominios del "bcp" y "scotiabank".

Una cosa más, también abre una ventana con un video de youtube X)

Es todo de momento.

Atte: