Saludos:

Y sín temor a equivocarme este era el correo electrónico que presentarón en un noticiero matutino de la televisión Peruana. X) Bueno gracias mi estimado amigo por enviarmelo.

-> El correo:

Como matan a mi tío chespirito, no pues. X) Bueno, otra vez la técnica de aprovecharse de una noticia supuestamente actual para tratar de comprometer la mayor cantidad de sistemas de incautos usuarios.

El correo electrónico contiene los siguientes enlaces:

Cabecera -> http://www.cronica.com.mx/imagenes/logocronica_flor.jpg
Imágen del supuesto video -> http://img65.imageshack.us/img65/9350/noticiaxkz2.jpg
Imágen de la fecha -> http://img357.imageshack.us/img357/5157/lklr6.png

http://www.statictvazteca.com/servicios/videos/images/icn_01.gif
http://img368.imageshack.us/img368/6608/leidoyr8.png

Obviamente en enlace de la imágen permite descargar el malware. Pero hay otro dato interesante y es que en la parte inferior del mensaje se puede leer la leyenda "Descarga el Plug-in Flash Player aquí" El cual enlaza a otra URL hospedando otro malware. El cual se analiza más adelante.

-> Las cabeceras del correo electrónico:

De momento el mensaje me ha sido enviado sín incluir las cabeceras del mensaje.

-> El malware:

El malware puede ser descargado de la siguiente URL:

http://pornstarloverz.com/ct/LaCronica(Paro-Respiratorio)movie.mpg.exe_enc.exe

Y como he detallado anteriormente, se incluye en el correo electrónico una URL a otro malware:

http://www.teensfirstmovie.com/ct/VideoAccidente.exe_enc.exe

Aunque el tamaño es similar, es obvio, aplicando un hash SHA1 que son diferentes.

El primer espécimen es enviado a virustotal, y estos son los resultados:

En primera instáncia se me indica que el malware ya ha sido analizado antes. Primera recepción: 10.07.2008 02:26:47 (CET) Pueden visualizar los resultados completos en la siguiente dirección:

http://www.virustotal.com/es/analisis/50147f1f9eaf1b8978101788ca749a2a

Procedo a enviar el otro espécimen, estos son los resultados:

Pero como en el caso anterior, se me indica que la muestra ya ha sido enviada antes. Primera recepción: 09.07.2008 07:05:45 (CET)

Pueden visualizar los resultados completos en la siguiente URL:

http://www.virustotal.com/es/analisis/ce14ba536f4426ae52e95a23e8150bd4

Ahora procedamos a investigar los dominios en donde se almacena el malware.

Información WHOIS del primer dominio:

Registro de España.

Información WHOIS del segundo dominio:

Registro de Holanda.

Los dos dominios son de contenido adulto. NO creo conveniente colocar aquí capturas de pantalla al respecto. Sí se observa con detenimiento las respetivas URL donde se almancena cada malware, se percibe que estan en un directorio determinado. Así es que visualizando cada directorio se obtiene lo siguiente:

Es un buen punto de partida para una investigación. Pero de momento lo dejo allí. Y pueden descargar los dos especímenes desde la siguiente dirección. (Sólo para propósitos de análisis y aprendizaje por favor).

http://rapidshare.com/files/128795542/chespirito.rar.html

Será hasta una próxima oportunidad.

Atte: