Spam de Info@hi5 con TarjetasNico

Publicado el 10. Oct, 2009 por el autor Israel Rangel en la categoria Spam y ha sido 130 veces visto.

Otra vez de sorpresa he recibido un mensaje spam falso de Tarjetas Nico, su método de propagación es la misma de siempre, podemos observar claramente los otros temas Trojan en tarjetas animadas falsas de TarjetasNico y Tarjetas-animadas falsas de TarjetasBubba enviadas como spam. Supuestamente el correo llega oficialmente desde info@hi5, pero esta claro que es falso:

Al hacer clic al enlace que muestra el cuerpo del mensaje, nos dirige a un sitio web con la terminación:

  • hxxp://***.com/Tarjeta-Nico/Postal.php

Por lo que podemos observar claramente, que no es la dirección original de Tarjetas Nico, además al hacer clic sobre algún enlace ingresa a la página falsa y descarga un archivo llamado Postal.exe.

Al ejecutar el archivo infectado se crea el proceso llamado Postal.exe, la que a su vez ejecuta el cmd, el IEXPLORE, wscript y reg.exe.

Crea un archivo en %TEMP%\bt6624.bat con el cual descarga tres archivos, modifica el archivo de host y modifica llaves de registro.

Archivos descargados:

  • xxx.xxx.xxx.xxx /1/go.php
  • xxx.xxx.xxx.xxx /d.exe
  • xxx.xxx.xxx.xxx /host.exe

Los cuales guarda en en %WINDOWS%\system32\drivers\etc

El archivo de host queda modificado con el siguiente contenido.

  • xxx.xxx.xxx.xxx www.bancomer.com
  • xxx.xxx.xxx.xxx www.bancomer.com.mx
  • xxx.xxx.xxx.xxx bancomer.com
  • xxx.xxx.xxx.xxx bancomer.com.mx
  • xxx.xxx.xxx.xxx hsbc.com.mx
  • xxx.xxx.xxx.xxx www.hsbc.com.mx
  • xxx.xxx.xxx.xxx hsbc.com
  • xxx.xxx.xxx.xxx www.hsbc.com
  • xxx.xxx.xxx.xxx www.pene1.com

Y modifica la siguiente llave de registro:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run opop = “%System%\drivers\etc\d.exe

Con el cual ejecuta el archivo d.exe, que previamente había copiado, cada vez que se inicia el equipo este archivo se ejecutara en memoria.

Información del archivo:

  • Nombre del archivo: Postal.exe
  • Peso del archivo: 132 KB (132678 bytes)
  • MD5: 36c4f94330da3b66b27ac078332aa3ae
  • Análisis por Virustotal: 27/41 Antivirus lo detectaron a la fecha
Related Posts with Thumbnails

Temas relacionados:



Dejar una respuesta


Haz click en los emoticonos para usarlos:

:smile: :grin: :razz: :lol: :wink: :mrgreen: :neutral: :roll: :shock: :???: :cool: :oops: :twisted: :evil: :eek: :mad: :sad: :cry: :!: :idea: :arrow: :arrow:

     

    Los campos con una * son requeridos estrictamente