El día de hoy se ha recibido un correo en el cual se indica la descarga de una tarjeta electrónica. Con anterioridad podemos observar otros temas similares como Spam de Info@hi5 con TarjetasNico y Trojan en tarjetas animadas falsas de TarjetasNico.
El enlace que se muestra en el correo, es secuestrado por otra dirección URL diferente, y nos solicita la descarga de un archivo llamado Postal.exe.
Al ejecutar el archivo Postal.exe se crea el archivo ejecutable systems.exe, bajo la ruta C:\WINDOWS\system32 y el archivo nmn.exe bajo C:\WINDOWS
Ambos archivos levantan un proceso que se mantiene en ejecución todo el tiempo:
El proceso systems.exe abre un puerto y una conexión a un sitio: Continuar leyendo »
Se ha recibido el siguiente mensaje navideño archivado como spam desde “e-cards”. Que al hacer clic al archivo vinculado que se aloja en un servidor situado en Austria, que fue configurado para rechazar las solicitudes de descarga una vez que se entrega el archivo.
Desencriptando la protección de el archivo, logramos descargar el fichero con un auto Winrar, posteriormente me hizo pensar que podría ser una de las variantes Zapchas (generalmente contiene varios componentes maliciosos con un propósito común de contratar el sistema infectado en un botnet).
Una vez ejecutado, el malware inicia el reproductor de Flash que muestra una animación de felicitación no relacionados con la Navidad. Continuar leyendo »
Buscando referencias de malwares, como era de esperar, encontrar mensajes electrónicos spammers hablando sobre esto, ya que los creadores de virus aprovechan cualquier circunstancia para infectar equipos lo más rápido y efectivo que se pueda. El mensaje spam que se ha recibido es el siguiente:
HO HO HO Santa has the best offer of the year for you
Hello, it’s me Santa Clause, I suppose you already know me, I have for you the most wanted offer of the year.
If you make an account on: hxxp://gracebiblechurchofphoenix.org/santaclause.exe until the 5th December, you can choose one welcome gift from us for 50 Euros from hxxp://gracebiblechurchofphoenix.org/santaclause.exe
and enter your validation code, which is: a91-valets-cloud-mad (Only until the 5th December availible.)
This is our way to say Happy Holidays, take your chance to feel the Christmas Anticipation.
Regards,
Santa Clause
Como pueden ver, el enlace los dirige a un archivo infectado con el nombre de santaclause.exe, la infección crea las siguientes carpetas:
- %Windir%\Temp\spoolsv
- %Windir%\Temp\spoolsv\download
- %Windir%\Temp\spoolsv\logs
- %Windir%\Temp\spoolsv\sounds
También crea las siguientes claves de registro:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.cha]
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.chat]
Desde el equipo de SophosLabs recibieron un correo spam donde decía que fueron los ganadores de una Macbook air, de acuerdo a los criminales cibernéticos. Informan que han estado recibido un montón de estos mensajes de felicitación.
El correo electrónico trae un archivo adjunto con un archivo zip llamado winner.zip. a continuación mostraremos el mensaje spam:
El correo electrónico se hace pasar por procedentes de servicios de medios y se puede ver claramente el error en el correo electrónico. Todo esto demuestra que es un mensaje spam definitivamente.
Por favor, abstenerse a realizar clic en cualquier de tales correos electrónicos de felicitación falsos en su bandeja de entrada o la carpeta de basura.
| Malwares, Spywares, Virus, Adware
