PeruSec

Video inedito de premier Jorge Del Castillo,Recibiendo dinero de Romulo Leon + Malware

Enviado por ReYDeS el Vie, 10/10/2008 - 09:42.

Saludos:

Era de esperarse la noticia convertida a Malware ;)

-> El correo electrónico:

Free Image Hosting at www.ImageShack.us

Las URLs utilizadas en el correo electrónico son las siguientes:

http://groups.msn.com/_Secure/0PwAMGfoSHl7lnlNReX1Bs6SuP7UMX1P6vV7BfVZ!it1infmADuOnOS6h7ZV99gLiGf3AKUCAl5dHoIVDWVcxLMOf2HWzEvDK/busca.gif?dc=4675691212780265368
http://www.textualmenteactivo.com/wp-content/subidas/2008/06/yahoo_peru.gif
http://videotube.sytes.net/video
http://blogs.rpp.com.pe/ampliaciondenoticias/files/2008/06/delcastillo.jpg

Entre las URLS utilizadas está la siguiente:

http://www.honeynet.ec/tmp/Videos/Download.php

Un Proyecto Honeynet de Ecuador donde se almacena otro malware. Una interesante táctica X) Un enlace "legal" para esparcir Malware. Intuyo que es un sitio "Comprometido"?

Free Image Hosting at www.ImageShack.us

-> Las cabeceras del correo electrónico:

Free Image Hosting at www.ImageShack.us

Las cabeceras delatan información mas interesante:

* To: NOTICIAS YAHOO ***********@midominio.org.pe

Bueno mi correo electrónico con "NOTICIAS YAHOO" como nombre. Muy original.

* Subject: Video inedito de premier Jorge Del Castillo,Recibiendo dinero de Romulo Leon

El asunto ya expuesto. Muy "escabroso"

* X-PHP-Script: www.goal-uk.org/fundraising/funrun/phpform/use/temp.php for 201.230.56.22

El Script utilizado par enviar el correo y la dirección IP. La dirección IP pertenece a TdP y corresponde a un router.

* From: NOTICIAS YAHOO info@hi5.com

De HI5.com para darle más realísmo al asunto, y evadir filtros.

* X-Mailer: Microsoft Outlook, Build 10.0.2616

Versión y nombre del cliente de correo utilizado.

* X-Source: /no_busques_aqui/carajo/

Fuente. Recuerden que las cabeceras que inician con "X" no pertenecen al estándar y pueden ser colocados por los servidores o clientes de correo electrónico.

* X-Source-Args: /fuistes/no_busques_aca/mela/

Argumentos de Fuente.

* X-Source-Dir: por_la_pita_quese_partio:/que_viva_mexico_cabrones

Directorio Fuente

* Return-path: goaluk00@goal-uk.org

Ruta de Retorno.

-> El Malware, el malware adjunto al correo no es detectado como dañíno por VirusTotal ni ThreatExpert. Anubis en este momento está inactivo, Por otra parte el malware de Honeynet Ecuador si es detectado, he aquí ambos reportes:

VirusTotal:

http://www.virustotal.com/analisis/655b5b3d25e4a8bd802d73d9907e2683

ThreatExpert:

http://www.threatexpert.com/report.aspx?md5=d7876ee32dc6313d91b9862cb504...

Es todo de momento. Muchas gracias.

Atte:

Envíos recientes a blogs

más

Comentarios recientes