PeruSec

Presidente del Perú confiesa fraude en elecciones presidenciales del 2006

Enviado por ReYDeS el Mar, 07/01/2008 - 11:58.

Saludos:

Es el turno del Señor Presidente Constituacional de la República del Perú.

-> El correo electrónico:

Free Image Hosting at www.ImageShack.us

El mensaje detalla una noticias muy llamativa, e implora; como no; a descargar un supuesto video. X) Admiro el ingenio para inventar estas notas, estos tipos deberían de ser contratados por algún periódico.

Los enlaces o URL de las imágenes utilizadas en el cuerpo del correo provienden de dominios reales, y de la propia página web de americatv.com.pe

http://www.americatv.com.pe/cuartopoder/images/cabecera01.jpg
http://www.radiomelodia.com.pe/admin/editor/UserFiles/Image/alan_garcia.jpg
http://www.americatv.com.pe/cuartopoder/images/prodnac.gif

-> Las cabeceras del mensaje:

Free Image Hosting at www.ImageShack.us

La información relevante que se puede obtener de las cabeceras del mensaje, es la siguiente:

* Asunto:
Subject: Presidente del Perú confiesa fraude en elecciones presidenciales del 2006.

El asunto reitero; muy llamativo, para maximinar las posibilidades de que una potencial víctima visualice el correo electrónico y sea engañada.

* De:
From: Cuarto Poder.

Como se puede apreciar en los resultados que muestra la siguiente imágen de una consulta WHOIS al dominio en cuartopoder.com.pe, este NO existe.

Free Image Hosting at www.ImageShack.us

* Recibido de:

La primera línea Received, revela lo siguiente:

Received: from nobody by linux.nazarweb.org with local (Exim 4.69)
(envelope-from )
id 1KDd4q-0000UA-QD

Sí mi elefanteásica memoria no falla, este dominio ya ha sido detectado antes, como orígen de correos electrónicos de este tipo. En la siguiente imágen una consulta WHOIS a dicho dominio:

Free Image Hosting at www.ImageShack.us

-> El malware:

El malware puede ser descargado desde la siguiente URL:

http://www.yehchurch.com/system/cache/pictures/Video_presidente.exe

Una URL alterna para descargar el malware, (Reitero Nsima vez, para fines educacionales solamente.) es la siguiente URL:

http://rapidshare.com/files/126355791/Video_presidente.exe.html

Una consulta WHOIS al dominio yehchurch.com, revela la siguiente información, como por ejemplo que pertenece a Sao Paolo, Brasil X)

Free Image Hosting at www.ImageShack.us

Ahora es momento de analizar el malware en Virustotal:

Es análisis por parte de virustotal, revela los siguientes resultados:

Free Image Hosting at www.ImageShack.us

La URL con todo los resultados pueden ser visualizados desde la siguiente URL:

http://www.virustotal.com/analisis/0fbfedfd3f9e25116bbb9b4dcc8caa6d

¿Qué es lo que hace el malware?

El malware creo una estructura de directorios bajo c:\Windows\System32 tál y como lo muestra la siguiente imágen:

Free Image Hosting at www.ImageShack.us

En el listado se pueden apreciar dos archivos exe, que se tienen que analizar con más calma. X)

Y luego para despistar al "enemigo" apertura una página la página de youtube con un video:

Free Image Hosting at www.ImageShack.us

La falsa página de VIABCP creada en la PC infectada es similar a esta imágen:

Free Image Hosting at www.ImageShack.us

En la siguiente imágen se puede visualizar la URL que hospeda el script PHP que procesa el formulario de la falsa página de VIABCP:

Free Image Hosting at www.ImageShack.us

De momento eso es Todo, no hay conclusiones ní notas finales. X) El trabajo apremia, así es que lo dejamos para el siguiente malware. El cual ya está a la espera de ser analizado.

Sigan enviando malware por favor :) Y Gracias a todos aquellos que lo envían concientemente :D

Atte:

Envíos recientes a blogs

más

Comentarios recientes