Saludos:

Volvemos con inkakola y sus promociones. Gracias por enviarme este malware para analizar. Sigan envíando su malware a mi correo. Muchas Gracias. X)

-> El correo:

<

Como se puede apreciar en la anterior imágen, toda la seducción posible para que visualices el correo electrónico, descargues y ejecutes el malware.

Las URL que se incluyen en el cuerpo del correo electrónico, son las siguientes:

http://200.58.114.219/sorteo.es/cab.jpg
http://200.58.114.219/sorteo.es/fot_premios.jpg
http://200.58.114.219/sorteo.es/spacer.gif

La siguiente imágen muestra la consulta WHOIS al IP 200.58.114.219. Que dudo mucho tenga relación alguna con IK.

-> Las cabeceras del correo electrónico:

De las cabeceras del correo electrónico se puede extraer la siguiente información relevante:

* Asunto:
Subject: [PUBLICIDAD] ¡ahora tienes doble oportunida de ganar descarga el formulario y rellena tus datos correctamente y gana!

Reitero, un asunto que clama "Abreme". Muy original X).

* De:
From: Webmaster Inca Kola

Falsea un correo electrónico del dominio hi5.com. Como bien lo he comentado en otro envío, intuyo que debe ser para eludir algún tipo de filtrado de administración o políticas. Y para hacer aun más fidedigno el engaño utiliza como nombre "Webmaster Inca Kola". Reitero, que original.

* Responder:
Reply-To: Webmaster@ik.com.pe

Es usual que en dominio se maneje una cuenta webmaster, para diferentes propósitos, me atrévo a sustentar que es una dirección válida, pero obviamente también ha sido colocada a propósito para hacer real el engaño.

* Recepcionado:
Received: by ns4.xrnet.cn (Postfix, from userid 545)
id 43A2911917; Tue, 1 Jul 2008 10:49:24 +0800 (CST)

El primer Received, delata como origen al servidor ns4.xrnet.cn, al realizar una consulta a su registro A, no se obtiene respuesta satisfactoria.

El segundo Received, expone una dirección IP asociada al dominio ns4.xrnet.cn, que es: 203.158.16.11

Una consulta whois a dicho IP, muestra la siguiente información:

Beinjing, China.! recordar las olimpiadas por favor.

-> El malware

El malware puede o podía ser descargado desde la siguiente URL, indicada en el cuerpo del mensaje:

http://200.58.114.219/sorteo.es/sorteo_chapa_viaje.exe

Un URL alternativa de descarga (Solo para fines educacionales y de análisis) es la siguiente:

http://rapidshare.com/files/126430007/sorteo_chapa_viaje.exe.html

AL enviar la muestra a Virustotal para su análisis, estos son los resultados:

Los resultados completos pueden revisarlos desde la siguiente URL:

http://www.virustotal.com/analisis/952a5924c4e56cc410bfeca74ffe6453

Solo 3 antivirus de 32 lo detectan. Lo cual es interesante. Y la muestra no ha sido recepcionada antes.

¿Qué es lo que hace el malware?

Al momento de ejecutar el malware, se visualiza lo mostrado en la siguiente imágen:

El malware en cuestion crea una estructura de directorios y archivos, tál y como se muestra en la siguiente imágen:

Tres bancos son el objetivo del malware, BCP, Continental y Scotiabank. Por ejemplo:

La URL donde se ubica el archivo PHP que procesa la información se ubica en la siguiente URL: http://usuarios.lycos.es/robneypunk/ El index de la URL muestra la siguiente página web. Lo interesante está en los directorios que utiliza el malware.

Por ejemplo, para el caso del Scotibank, la siguiente imágen muestra el listado del directorio web donde se almacena dicho archivo PHP.

Para el caso del Continental, la siguiente imágen muestra el listado del directorio web donde se almacena el archivo PHP que procesa la información enviada por el malware.

Conclusiones:

* Cada día encuentro situaciones interesantes en lo referente al SPAM, Malware y sitios comprometidos. En esta caso me atrevo a inferir que este sitio ha sido concientemente entregado a almacenar o procesar información que el malware envía de las víctimas. Así también de los archivos JS e imágenes.

* Recuerden tener cuidado y precaución, cuando se visualicen correos de orígen desconocido o de asuntos muy llamativos. Es mejor ser cautos y proceder con precaución, se pueden ahorrar muchos dolores de cabeza simplemente aplicando un poco de criterio.

* El malware ataca Tres Bancos Peruanos, un "tres en uno" y de esta manera ampliar el espectro o las posibilidades de que más víctimas caigan en el engaño.

Hasta una próxima oportunidad.

Atte: