Saludos:
Turno nuevamente del Señor Alberto Fijimori, un intento de engaño, utilizando su situación actual. ¡Que paradoja!
-> El correo electrónico:
La URL que utiliza el correo electrónico sólo es la siguiente:, donde se hospeda el malware.
http://www.guiaderubi.com/chat/mods/video/
-> Las cabeceras del correo electrónico:
La información más relevante que puede obtenerse de las cabeceras es la siguiente:
* Subject: Peru.com - FUJIMORI ANTE LA JUSTICIA
Sín palabras X)
* From: "Peru.com" *****************.pe>
Lo interesante del from es que utiliza la misma dirección de correo electrónico que el destinario X) Y no me refiero a "Peru.com" obviamente.
* Received: by ws03.host4g.com (Postfix, from userid 48)
El primer received revela información del origen, no muy alentador el origen por supuesto X).
-> El malware:
Descargando el malware.
http://www.guiaderubi.com/chat/mods/video/
El index.html solo contiene esta línea:
META HTTP-EQUIV="refresh" CONTENT="1; url=video.exe"
Enviando la muestra a virustotal, NINGUN, repito, NINGUN antivirus lo detecta, como puede apreciarse en la siguiente captura de pantalla.
La URL, con los resultados completos es la siguiente:
http://www.virustotal.com/analisis/67a0c088ee8b5373198b2b0f42447eb6
Nuevamente repito, es interesante que ningún antivirus lo detecte. X)
Es hora de hacer un paréntesis. Será hasta una próxima oportunidad.
Atte:
+ datos
Agregando al post.
El malware sustrae el listado de contactos de mensajeria instantanea (msn) de la victima por ftp. Supongo para spam.
Además, reescribe el archivo hosts para realizar phisinhg a los bancos Continental y BCP.
Bien
Sí, así es, lo detallado es totalmente correcto. La IP a la cual redirecciona algunos dominios de bancos, actualmente ya no está activo, pero sí el tema del FTP. Una interesante técnica.
Gracias por el aporte.
ReYDeS - http://www.PeruSEC.org