Mi espacio utópico y catártico

Virus en correo falso de Madonna haciendo declaraciones acerca de mexicanos – Correo falso


Correo OrejaAprovechando la víspera de la llegada de Madonna a México y la curiosidad y el morbo de la gente, llegó ahora un correo supuestamente del programa de chismes y estupideces que no sé cómo en nuestros días todavía tiene audiencia de TV “la Oreja”

Tiene como título “Madonna dice que los mexicanos somos los más feos del mundo.!‏” Algo que no creo que Madonna siendo un ser pensante y ni teniendo mil arranques de ira o depresión, hubiera declarado en público, en entrevista y menos a un reportero mexicano.

El correo podría confundir a más de uno, sin embargo tiene los siguientes detalles:

– El remitente es “info@hi5.com“. Primeros indicios de que el correo es falso.

– Es patrocinado por “Box.net“??? que es un sitio dedicado a almacenar archivos de cualquier tipo… desde fotografías hasta virus como es el caso. Y ya quisiera “La Oreja” que fuera patrocinada por ellos.

– La leyenda de derechos de autor data del 2004 :O ¿¿¿Cuatro años antes??? ¿Descuido?

– Cualquiera de las ligas a la que hagas clic, te lleva, irremdiablemente, a descargar el archivo “noticias.exe” de 30KB. A las 8:30AM de 3 antivirus, ninguno lo identificó como amenaza. Sin embargo lo puse a prueba en una máquina virtual y casualmente el archivito tiene comportamiento de Troyano.

Hay que desconfiar de cualquier correo no solicitado y más si viene de la Oreja jaja cuando eres un ser pensante y prefieres usar el tiempo de tu vida en algo que aporte.

Si te pide descargar algo, que no sea con las extensiones .exe, .vbs, .cmd, .bat o .com en el caso de las PCs con cualquier versión de Windows – aunque Vista reacciona distinto – Los usuarios de Mac o Linux no tienen de qué preocuparse.

Saludos

Actualización: Confirmado por Kaspersky Labs. El programa es un Trojan.Win32.VB.hcs

Como eliminarlo:

1. Reinicia tu computadora y después de la pantalla negra del POST donde se presenta, ya sea, información del motherboard, del BIOS, Memoria, etc. presiona la tecla F8 para que aparezca el menú de inicio de Windows.

2. Del menú selecciona “Modo seguro” o “Modo a prueba de fallos” arrancará Windows con una resolución de pantalla grande (640 x 480) con los colores mínimos (16 colores) pero está bien.

3. Abrir un explorador de Windows y buscar los archivos “winrun.exe” y “winlogin.exe” Asegúrate de tener activado el mostrar archivos ocultos y de sistema operativo. (Menú Herramientas -> Opciones -> Ver -> “Mostrar todos los archivos y carpetas ocultos” y Desactivar “Ocultar archivos protegidos del sistema operativo”

4. Bórralos

5. Inicio -> Ejecutar y en el campo de  “Abrir” poner “regedit.exe” sin las comillas.

6. Buscar la clave HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\Current Version\Windows y del lado derecho dentro de “load” borrar el valor y dejarlo en blanco. Cerrar regedit

7. Localiza el archivo “hosts” C:\Windows\System32\drivers\etc ábrelo con un “Bloc de notas”, borra todo su contenido y guárdalo.

8.  Reinicia.

Realiza un scan en línea para verificar la existencia de algún malware. Kaspersky scanner online

Saludos

Anuncios

15 comentarios

  1. Gracias por tu informacion, muy util. Yo antes de irme con la finta, me puse a buscar en google que encontraba sobre esta supuesta noticia y google me llevo a tu comentario. Hay que difundir un correo para prevenir a la gente. De nuevo, gracias.

    noviembre 27, 2008 en 08:45

  2. Regina Aguilar

    Wow! Podría parecer que es un correo genuino orejón y no lo es. Esos pequeños detalles se nos escapan a varias y a varios jajaja

    Ya soy fan de tu blog
    Ciao

    noviembre 27, 2008 en 09:53

  3. Roorris

    Just to help further identifying this thing I´m transcribing some strings I’ve found inside the .exe –
    Administrador / Escritorio / PharOlniNecon / PharOlniNe / Proyecto1.vb – noticia.exe – another guy full of time to spend!

    This proggy creates two files – c:/windows/winrun.exe & winlogin.exe – and then messes with the windows hosts file. Should be easy to get rid of it.

    My .02
    ROd

    noviembre 27, 2008 en 10:48

  4. Victor

    acabo de recibir ese correo e imagine que se trataba de algun virus y busque en google por el titulo de este mismo, y encontre tu pagina, te felicito por tu pagina es muy informativa para personas que sabesmos poco o nada referente a los virus y correos falsos conocidos como pharming o algo asi jaja bueno saludos sigue con lo tuyo que yo estare al pendiente para aprender mas de ti gracias

    noviembre 27, 2008 en 16:24

  5. Ana

    Como puedo eliminar el virus??

    noviembre 27, 2008 en 22:19

  6. Hola, gracias por sus amables comentarios.

    Arriba en actualización publiqué una forma de eliminarlo.

    Saludos

    noviembre 28, 2008 en 08:11

  7. Gerardo

    Gracias por tu información

    noviembre 28, 2008 en 10:26

  8. Ana

    Muchas gracias,

    Segui el procedimiento para eliminarlo y funciono perfectamente. Solo un comentario, el path: C:\Windows\System32\etc\drivers\ en mi caso tiene diferente el orden de los ultimos 2 directorios: C:\Windows\System32\drivers\etc\

    Gracias nuevamente.

    noviembre 28, 2008 en 10:30

  9. Ana

    Muchas gracias,

    Segui el procedimiento para eliminarlo y funciono perfectamente. Solo un comentario, el path: C:\Windows\System32\etc\drivers\ en mi caso tiene diferente el orden de los ultimos 2 directorios: C:\Windows\System32\drivers\etc\

    Gracias nuevamente.

    noviembre 28, 2008 en 10:32

  10. Ana, es verdad. Muchas gracias. He corregido el error. La ruta que indicas es la correcta.

    Saludos

    noviembre 28, 2008 en 10:45

  11. crei q era de vdd y lo abri 😦

    noviembre 28, 2008 en 11:15

  12. Hola, excelente blog, es muy bueno que haya gente que no se contente con escuchar una noticia, sino que se asegure que sea cierta, recientemente me llego el mail de los genpets, y me puse a investigar, al final di con la verdad y le envie un mail a mi amiga asi como a los contactos a los que les habia mandado el mail para que supieran lo que realmente eran los genpets, ps una vez mas excelente blog y te agradeceria si me pudieras decir donde puedo descargar una maquina virtual, gracias.

    diciembre 2, 2008 en 21:02

  13. Hola Pepe, gracias por tus amables comentarios.
    La máquina virtual que uso es la de Microsoft. Funciona perfectamente y además es gratis.

    La liga para descargarla con la documentación es:
    http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=04d26402-3199-48a3-afa2-2dc0b40a73b6

    diciembre 3, 2008 en 09:26

  14. Roorris

    Ojo, nueva version – ahora con Yahoo Respuestas.

    diciembre 4, 2008 en 21:59

  15. Alfredo

    Ey, te escribo desde España.
    Yo ya había eliminado el virus pero me seguía saliendo el aviso de error de Winrun.exe al iniciar windows.
    Modifique el registro y seguí tus consejos y todo perfecto.
    Mil gracias amigo. Un abrazo

    marzo 9, 2009 en 11:14

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s