Seguridad Informática

Seguridad informática explicado en unos básicos pasos, desde como eliminar un virus, quitar restricciones de los sistemas operativos, buscar códigos maliciosos en el sistema como el análisis de cracks, keygens, bugs. También encontraras manuales de programas para su multi-uso.

Santa Claus tiene un virus para ti

Publicado por Israel Rangel - 03/12/09 a las 02:12:50 pm

Buscando referencias de malwares, como era de esperar, encontrar mensajes electrónicos spammers hablando sobre esto, ya que los creadores de virus aprovechan cualquier circunstancia para infectar equipos lo más rápido y efectivo que se pueda. El mensaje spam que se ha recibido es el siguiente:

HO HO HO Santa has the best offer of the year for you

Hello, it’s me Santa Clause, I suppose you already know me, I have for you the most wanted offer of the year.

If you make an account on: hxxp://gracebiblechurchofphoenix.org/santaclause.exe until the 5th December, you can choose one welcome gift from us for 50 Euros from hxxp://gracebiblechurchofphoenix.org/santaclause.exe

and enter your validation code, which is: a91-valets-cloud-mad (Only until the 5th December availible.)

This is our way to say Happy Holidays, take your chance to feel the Christmas Anticipation.

Regards,
Santa Clause

Como pueden ver, el enlace los dirige a un archivo infectado con el nombre de santaclause.exe, la infección crea las siguientes carpetas:

• %Windir%Tempspoolsv
• %Windir%Tempspoolsvdownload
• %Windir%Tempspoolsvlogs
• %Windir%Tempspoolsvsounds

También crea las siguientes claves de registro:

• [HKEY_LOCAL_MACHINESOFTWAREClasses.cha]
  • (Default) = “ChatFile”
• [HKEY_LOCAL_MACHINESOFTWAREClasses.chat]
  • (Default) = “ChatFile”
• [HKEY_LOCAL_MACHINESOFTWAREClassesChatFileShellopenddeexecTopic]
  • (Default) = “Connect”
• [HKEY_LOCAL_MACHINESOFTWAREClassesChatFileShellopenddeexecifexec]
  • (Default) = “%1″
• [HKEY_LOCAL_MACHINESOFTWAREClassesChatFileShellopenddeexecApplication]
  • (Default) = “svchost”
• [HKEY_LOCAL_MACHINESOFTWAREClassesChatFileShellopenddeexec]
  • (Default) = “%1″
• [HKEY_LOCAL_MACHINESOFTWAREClassesChatFileShellopencommand]
  • (Default) = “”%Windir%tempspoolsvspoolsv.exe” -noconnect”
• [HKEY_LOCAL_MACHINESOFTWAREClassesChatFileDefaultIcon]
  • (Default) = “”%Windir%tempspoolsvspoolsv.exe”"
• [HKEY_LOCAL_MACHINESOFTWAREClassesChatFile]
  • (Default) = “Chat File”
• [HKEY_LOCAL_MACHINESOFTWAREClassesircShellopenddeexecTopic]
  • (Default) = “Connect”
• [HKEY_LOCAL_MACHINESOFTWAREClassesircShellopenddeexecifexec]
  • (Default) = “%1″
• [HKEY_LOCAL_MACHINESOFTWAREClassesircShellopenddeexecApplication]
  • (Default) = “svchost”
• [HKEY_LOCAL_MACHINESOFTWAREClassesircShellopenddeexec]
  • (Default) = “%1″
• [HKEY_LOCAL_MACHINESOFTWAREClassesircShellopencommand]
  • (Default) = “”%Windir%tempspoolsvspoolsv.exe” -noconnect”
• [HKEY_LOCAL_MACHINESOFTWAREClassesircDefaultIcon]
  • (Default) = “”%Windir%tempspoolsvspoolsv.exe”"
• [HKEY_LOCAL_MACHINESOFTWAREClassesirc]
  • (Default) = “URL:IRC Protocol”
  • EditFlags = 02 00 00 00
  • URL Protocol = “”
• [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
  • spoolsv = “”%Windir%tempspoolsvspoolsv.exe”"

• [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallmIRC]
  • DisplayName = “mIRC”
  • UninstallString = “”%Windir%tempspoolsvspoolsv.exe” -uninstall”
• [HKEY_LOCAL_MACHINESYSTEMControlSet001ServicessvchostParameters]
  • Application = “”%Windir%tempspoolsvspoolsv.exe”"
  • AppDirectory = “”%Windir%tempspoolsvspoolsv.exe”"
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessvchostParameters]
  • Application = “”%Windir%tempspoolsvspoolsv.exe”"
  • AppDirectory = “”%Windir%tempspoolsvspoolsv.exe”"
• [HKEY_CURRENT_USERSoftwareMicrosoftMicrosoft Agent]
  • VoiceEnabled = 0×00000001
  • UseVoiceTips = 0×00000001
  • KeyHoldHotKey = 0×00000091
  • UseBeepSRPrompt = 0×00000001
  • SRTimerDelay = 0x000007D0
  • SRModeID = 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
  • EnableSpeaking = 0×00000001
  • UseBalloon = 0×00000001
  • UseCharacterFont = 0×00000001
  • UseSoundEffects = 0×00000001
  • SpeakingSpeed = 0×00000005
  • PropertySheetX = 0x000F423F
  • PropertySheetY = 0x000F423F
  • PropertySheetWidth = 0×00000000
  • PropertySheetHeight = 0×00000000
  • PropertySheetPage = 0×00000000
  • CommandsWindowLeft = 0xFFFFFFFF
  • CommandsWindowTop = 0xFFFFFFFF
  • CommandsWindowWidth = 0x000000C8
  • CommandsWindowHeight = 0x000000C8
  • CommandsWindowLocationSet = 0×00000000
• [HKEY_CURRENT_USERSoftwaremIRC%UserName%]
  • (Default) = “WhiteHat”
• [HKEY_CURRENT_USERSoftwaremIRCLockOptions]
  • (Default) = “0,4096″
• [HKEY_CURRENT_USERSoftwaremIRCLicense]
  • (Default) = “5662-546732″
• [HKEY_CURRENT_USERSoftwareWinRAR SFX]
  • C%%Windows%temp%spoolsv% = “%Windir%tempspoolsv”

Y se conecta a los siguientes puertos:

• 130.237.188.216 por 6667
• 208.83.20.130 por 6667
• 81.174.254.70 por 6667

Información acerca del archivo infectado:

• Nombre del archivo: santaclause.exe
• Peso del archivo: 1.04MB (1094108 bytes)
• MD5: 6e347b4d6b44387176fca2a6979cbe2a
• Análisis por VirusTotal: 37/41 Antivirus lo detectaron a la fecha

Palabras clave:

Santa • Santa Claus • santaclause.exe

Temas relacionados

» Campaña de propagación de Koobface a través de Blogspot

» Spyware hasta en metrónomo musical

» Win32/Virut.AV - Virut.30

» Hi5 y Yourphot0s en vista de los creadores de worms de MSN

» TotalSecure2009 se destribuye en dominios .co.cc

» AntiMalware 2009 también se destribuye en dominios .co.cc

» Variante Bagle alojado en los servidores de rapidshare.com

» Trojan.Downloader llamado N-Virus

» Hackers buscan explotar las descargas ilegales

Búsquedas a esta página

Sin comentarios »

RSS feed para los comentarios de esta entrada. TrackBack URI

Dejar un comentario

Nombre (requerido)

Correo electrónico (no se publicará) (requerido)

URL

XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

CAPTCHA Code