Seguridad informática explicado en unos básicos pasos, desde como eliminar un virus, quitar restricciones de los sistemas operativos, buscar códigos maliciosos en el sistema como el análisis de cracks, keygens, bugs. También encontraras manuales de programas para su multi-uso.


    Spam de Info@hi5 con TarjetasNico

    Otra vez de sorpresa he recibido un mensaje spam falso de Tarjetas Nico, su método de propagación es la misma de siempre, podemos observar claramente los otros temas Trojan en tarjetas animadas falsas de TarjetasNico y Tarjetas-animadas falsas de TarjetasBubba enviadas como spam. Supuestamente el correo llega oficialmente desde info@hi5, pero esta claro que es falso:

    Al hacer clic al enlace que muestra el cuerpo del mensaje, nos dirige a un sitio web con la terminación:

    • hxxp://***.com/Tarjeta-Nico/Postal.php

    Por lo que podemos observar claramente, que no es la dirección original de Tarjetas Nico, además al hacer clic sobre algún enlace ingresa a la página falsa y descarga un archivo llamado Postal.exe.

    Al ejecutar el archivo infectado se crea el proceso llamado Postal.exe, la que a su vez ejecuta el cmd, el IEXPLORE, wscript y reg.exe.

    Crea un archivo en %TEMP%bt6624.bat con el cual descarga tres archivos, modifica el archivo de host y modifica llaves de registro.

    Archivos descargados:

    • xxx.xxx.xxx.xxx /1/go.php
    • xxx.xxx.xxx.xxx /d.exe
    • xxx.xxx.xxx.xxx /host.exe

    Los cuales guarda en en %WINDOWS%system32driversetc

    El archivo de host queda modificado con el siguiente contenido.

    • xxx.xxx.xxx.xxx www.bancomer.com
    • xxx.xxx.xxx.xxx www.bancomer.com.mx
    • xxx.xxx.xxx.xxx bancomer.com
    • xxx.xxx.xxx.xxx bancomer.com.mx
    • xxx.xxx.xxx.xxx hsbc.com.mx
    • xxx.xxx.xxx.xxx www.hsbc.com.mx
    • xxx.xxx.xxx.xxx hsbc.com
    • xxx.xxx.xxx.xxx www.hsbc.com
    • xxx.xxx.xxx.xxx www.pene1.com

    Y modifica la siguiente llave de registro:

    • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun opop = “%System%driversetcd.exe

    Con el cual ejecuta el archivo d.exe, que previamente había copiado, cada vez que se inicia el equipo este archivo se ejecutara en memoria.

    Información del archivo:

    • Nombre del archivo: Postal.exe
    • Peso del archivo: 132 KB (132678 bytes)
    • MD5: 36c4f94330da3b66b27ac078332aa3ae
    • Análisis por Virustotal: 27/41 Antivirus lo detectaron a la fecha

    Palabras clave:


      Temas relacionados


        Búsquedas a esta página

        hi5@info cominfo@hi5 desactivarowa bancomer onlinetarjetas nico

          Sin comentarios »

          RSS feed para los comentarios de esta entrada. TrackBack URI

          Dejar un comentario

          XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

          Este blog funciona gracias a WordPress e Internetizado. Cargo en 0,590s con 11 consultas
          Entradas y Comentarios feeds. XHTML y CSS válidos.