Usted Ha Ganado Pasajes Dobles Para Las Olimpiadas de Beijing!!! + Malware

Saludos:

Después de unas pequeñas vacaciones gracias a los amigos de ATUSOL en Tumbes, vuelvo a exponer un malware, envíado por un buen amigo mío, ahora le es el turno de las olimpiadas. X)

-> El correo:

La imagen utilizada en el correo electrónico tiene la siguiente URL:

http://76.191.98.236/olimpiadas.JPG

Y obviamente, tiene un link al malware que es el siguiente:

http://76.191.98.236/Formulario.php

El nombre del server relacionada a la dirección IP es: notedebo.kool.com, según la "huella" del servidor apache:

Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.8b mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 PHP/5.2.5 Server at notedebo.kool.com Port 80

-> Las cabeceras del correo electrónico:

Las cabaeceras del correo electrónico revelan la siguiente información:

* Subject: Usted Ha Ganado Pasajes Dobles Para Las Olimpiadas de Beijing!!!

Un asunto de por sí largo, llamativo, ruidoso. ¿Para qué más?

* From: VISANET premios@visanet.com.pe

Nuevamente se utiliza un remitente falso, en esta oportunidad, del dominio visanet.com.pe. Realizando una consulta WHOIS sobre el dominio, se obtiene la siguiente información.

* Reply-To:

No existe correo de "réplica". Pero si existe "Return-Path"

* Return-Path: wwwrun@frank-gebhardt.net

La Ruta de Retorno es la anterior, que delata un dominio. El dominio tiene la siguiente información, obtenida mediante una consulta WHOIS:

Alemania señores.

* Received: by dd18210.kasserver.com (Postfix, from userid 30)
id A5EFCC340C00; Wed, 16 Jul 2008 20:40:13 +0200 (CEST)

La primera línea Received, expone el servidor dd18210.kasserver.com. Cuya dirección IP se confirma en la segunda línea Received. Ahora realizo una consulta WHOIS al dominio en cuestión, obteniendo la siguiente información: