Tarjetas virtuales Nico infectando

Publicado el 07. Dic, 2009 por el autor Israel Rangel en la categoria Spam y ha sido 113 veces visto.

El día de hoy se ha recibido un correo en el cual se indica la descarga de una tarjeta electrónica. Con anterioridad podemos observar otros temas similares como Spam de Info@hi5 con TarjetasNico y Trojan en tarjetas animadas falsas de TarjetasNico.

El enlace que se muestra en el correo, es secuestrado por otra dirección URL diferente, y nos solicita la descarga de un archivo llamado Postal.exe.

Al ejecutar el archivo Postal.exe se crea el archivo ejecutable systems.exe, bajo la ruta C:\WINDOWS\system32 y el archivo nmn.exe bajo C:\WINDOWS

Ambos archivos levantan un proceso que se mantiene en ejecución todo el tiempo:

El proceso systems.exe abre un puerto y una conexión a un sitio:

Asegura su ejecución posterior al copiarse en el registro de Windows, bajo las llaves:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run, bajo la clave MicrosoftCorp y el valor c:\WINDOWS\system32\systems.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, bajo la clave MicrosoftNAPC, con el valor c:\WINDOWS\system32\systems.exe

A través del establecimiento de la conexión se obtuvo que se conecta a un servidor IRC, cuya IP es la 77.xxx.xxx.112, a través del puerto 6667. Además de también realizar unos ciertos cambios en el fichero host.

Información del archivo infectado

  • Nombre del archivo: Postal.exe
  • Peso del archivo: 1 MB (99090 bytes)
  • MD5: 967b1d79d24f4743550f840bca843d2d
  • Análisis por Virustotal: 14/41 Antivirus lo detectaron a la fecha
Related Posts with Thumbnails

Etiquetas: , ,

Temas relacionados:



Dejar una respuesta


Haz click en los emoticonos para usarlos:

:smile: :grin: :razz: :lol: :wink: :mrgreen: :neutral: :roll: :shock: :???: :cool: :oops: :twisted: :evil: :eek: :mad: :sad: :cry: :!: :idea: :arrow: :arrow:

     

    Los campos con una * son requeridos estrictamente