Mi espacio utópico y catártico

Tarjetas postales electrónicas en Messenger – Troyano


Chateando con una amiga en el Live Messenger durante la conversación parecío que me escribió

Mira la tarjeta que te hice http://bubbatarjetas.xxxxxxxxxx.xxxxxxxxxx

Como el link es genérico (sin parámetros o variables que indicaran que la supuesta tarjeta fue personalizada) me hizo pensarlo dos veces. Al hacer clic sobre la liga me apareció el ya conocido diálogo que no es de Adobe Flash donde tengo que actualizar la versión.

090705FlashTrojan

Obviamente te pide descargar un archivo sin firma digital y de nombre “Flash-Installer-Windows.exe”

El antivirus ni se inmutó, así que debe ser una variante que posteriormente aparecerá en las actualizaciones.

Mucho cuidado con lo que reciben aunque sea de parte de personas conocidas.

Abur

Actualización 7 de Julio 09

Prové en una PC Virtual a ver qué sucedía si ejecutaba el susodicho instalador. Las dos pruebas fueron así:

Primera prueba -> Sin Antivirus

– Prácticamente todos los ejecutables en la PCV fueron inoculados con el virus (Virus.Win32.Virut.ce) un verdadero dolor de cabeza.
– Los archivos que se salvaron fueron aquellos en uso: explorer.exe, msnmsgr.exe, pero al momento de reiniciar fueron infectados de inmediato.
– El Live Messenger tronó por todos lados, extraño porque por ahí es por donde llega. Tal vez la instalación del Messenger Plus! logró que no se iniciara.

Al ejecutar NOD32 Business Edition, éste detectó los archivos infectados, pero al ser tantos, simplemente se atoró el equipo y dejó de funcionar. Hubo que presionar el botón de encendido por unos segundos para apagarlo.

Segunda prueba -> Antivirus NOD32 Business Edition 2009 ACTIVADO

– Al momento de ejecutarse el instalador, NOD32 detectó 3 archivos de inmediato pero entró en un ciclo que provocó que el equipo colapsara. Cada archivo infectado era detectado, pero fueron tantos al mismo tiempo que no hubo oportunidad para salvar el equipo 😦

– Al reiniciar el equipo trataba de enviar el diálogo de NOD32 de infección de archivos, pero después de 30 minutos en el mismo estado, hubo que apagarlo.

–  Mismo efecto al reiniciar en “Modo Seguro”

Cómo deshacerse de él? Este caso puede ser único ya que no infectó completamente el equipo, detallaré las condiciones usando Kaspersky Internet Security 2009 ACTIVADO

– Arrancó el instalador y KIS detectó los mismos 3 archivos que NOD32 (el maldito log tronó y no supe cuáles fueron)

– El equipo empezó a colapsar por lo que use el Administrador de tareas para tirar el proceso Flash-Installer-Windows.exe ycon el KIS bloqueé eltráfico de red ya que empezó a descargar Trojan.Downloader.

– Cerré el equipo y arranqué en “Modo Seguro” ejecutando KIS y un análisis completo del equipo. En menos de 10 segundos que duró el incidente, había más de 300 archivos incluyendo varios de sistema infectados con el virus (Virus.Win32.Virut.ce)

–  Después de unas 4 reiniciadas y 4 re escaneos, el equipo parece recuperado. Otra cosa que se puede hacer es el sacar el disco duro y conectarlo por USB a otro equipo y pasarle un scan completo. El adaptador se puede obtener comprando un disco externo 5.25″ y desarmándolo. No tiene gran ciencia ya que el conector de datos y el de energía son idénticos al de una PC. Aplica lo mismo para notebook.

– Cabe mencionar que Live Messenger no quedó del todo bien ya que produce errores o se cierra cada cierto tiempo. KIS sigue de repente encontrando rastros del virus en ejecutables incluso dentro  de archivos comprimidos (ZIP y RAR)

Saludos

Anuncios

4 comentarios

  1. Yadai

    A mi me aparece exactamente eso… no hayo como quitarlo ya que ningun antivirus que he bajado lo detecta.

    Ni el supuesto msncleaner.

    julio 5, 2009 en 19:10

  2. Frigo

    GULP!!! si ya tiene tiempo enviandose este rollo, hay que ser cuidadosos! Gracias por la alerta R@U

    julio 6, 2009 en 08:46

  3. Berenice

    waaa! yo lo tengooo y me tiene artaaa :S me descuidee y me lo pasaron u____u ALGUIEN SABE COMO QUITARLOOOO??? ya le pase como mil antivirus y el msncleaner y todos los demas parecidos y nada de nada AYUDAAAAAAA!

    julio 8, 2009 en 20:48

  4. frank

    LOL

    a mi me llego pero no paso nada al abrirlo…. ni esta infectado ni, nada de nada…

    ups!! olvide decirlo? soy usuario de GNU/LINUX

    julio 16, 2009 en 21:48

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s