Saludos:

Este mail, me lo pasó un amigo mío, al parecer ya la gente no quiere enviarme SPAM X). Por favor envíenme más SPAM con malware ;) (Petición contradictoria)

-> El correo:

Algo peculiar en lo que respecta al correo electrónico enviado, es que estaba codificado en BASE64. Más información sobre BASE 64 en la siguiente URL:

http://es.wikipedia.org/wiki/Base_64

Bueno, entonces necesitamos "decodificar" el mensaje, y para ello busco una utilidad en mi GNU/Linux Debian para realizar dicha acción. Para agregar a su arcenal de herramientas, UUdeview, el cual pueden ubicar en la siguiente URL:

http://fpx.de/fp/Software/UUDeview/

Parte del mensaje codificado:

Ahora el mensaje decodificado, en HTML, la visualización del mensaje con un browser es la primera imágen que está al inicio del presente mensaje. Presento un fragmento del mensaje decodificado:

-> Las cabeceras del mensaje:

Como se puede percibir, las cabeceras del mensaje revelán nuevamente información muy interesante. Vamos a ello entonces.

* El Asunto:
Subject: Jibaja tendrá video juego titulado 'Liberen a Angie de la prisión'

Nuevamente se apela a captar la atención de los lectores del correo electrónico con una nota actual, presente "calientita", y de esta manera obtener un mayor margen de posibilidades de descargar el malware y comprometer sistemas.

* La dirección del remitente y respuesta:
From: "RPP Noticias" rpp-noticias@hotmail.com
Reply-To: "RPP Noticias" rpp-noticias@hotmail.com

Los dos apuntan a direcciones de usuario rpp-noticias en el dominio de hotmail.com (Hay que verificar la existencia de ese correo). Además para tratar de hacer más "Real" el engaño, colocan como nombre del remitente "RPP Noticias".

* El cliente de correo utilizado:
X-Mailer: Microsoft Outlook Express 6.00.2800.1081

* El primer Received:
Received: from Samuel (micausa (161.132.34.112)) Fri, 20 Jun 2008 13:17:19 +0300
Revela el punto más cercano al orígen del correo electrónico, en este caso obtenemos la dirección IP 161.132.34.112 y un nombre "micausa". Ahora hay que obtner información de dicha dirección IP.

La dirección IP pertenece a la Red Científica Peruana. Este servidor solo tiene abierto el puerto 80. El cual detecta como un servicio Proxy.

* El Segundo Received, no muestra una la segunda dirección IP más cercana al orígen la cual puede darnos ya una buena figura del transcurrir del mensaje de correo. Me refiero a la dirección IP 200.62.253.20. Al consultar información WHOIS sobre esta dirección IP se muestra la siguiente información:

Perteneciente a TELMEX. Obteniendo más información sobre la dirección IP, en lo referente a puerto abiertos o servicios en el se obtiene lo siguiente:

Lo más probable es que sea un router inhalámbrico. Al momento de escribir esto, ya no es posible corroborarlo, dado que no responde a nínguna petición.

-> El malware:

El malware se ubica en la siguiente URL:

http://security-expert.se\Videojuego-Jibaja.exe

Si ya no funciona, aquí tienen una URL alternativa (Con fines educacionales por favor).

http://rapidshare.com/files/123885331/Videojuego-Jibaja.exe.html

Según Virustotal, proporciona los siguiente resultados:

Pueden visualizar el reporte completo desde la siguiente URL:

http://www.virustotal.com/analisis/6e20d073d512ee37334bf91e4918b33d

Al momento de enviar la muestra solamente 9 de 33 antivirus lo detectan. No tan terrible, pero igualmente incomodo.

El dominio security-expert.se revela la siguiente información al realizar una consulta WHOIS:

Al realizar un escaneo de puertos solo se obtiene el puerto 80 abierto, y el 53 filtrado.

-> Conclusiones:

* La técnica de utilizar una noticia fresca y "llamativa" ya está siendo reiterativa, así es que desconfíen aun más de este tipo de correos electrónicos. No se dejen llevar por impulsos, son malos consejeros.

* En esta ocasión se trata de ofuscar el cuerpo del mensaje, mediande BASE 64, es una variante interesante, pero aún así es posible realiar el análisis.

* Se percibe como se interrelacionan diferentes servidores en diferentes ubicaciones y prestando diferentes servicios, todos ellos unidos; intencionalmente o no; con un mismo propósito; comprometer sistemas y sacar beneficio de tál accionar.

-> Palabras finales:

Por N+1 vez, Tened cuidado aquí adentro. Internet es solo un reflejo de nuestra sociedad.

Todo lo expuesto aquí es con fines educativos, no se incita a nadie a cometer acto ilícito alguno. Sí lo cometiese es bajo su absoluta responsabilidad.

Será hasta una próxima oportunidad.