CNN Top 10 / Alerts – Correo falso

Hoy me llegaron dos correos con imágenes exactamente iguales que parecían ser los correos que envía CNN denominados “The daily top 10”.

La primera parte que está sombreada en azul apunta al mismo sitio en cada correo. Es decir, cualquier liga a la que se le dé clic lleva al mismo lugar.

Sin embargo, cada correo apunta a distintos dominios.

La segunda parte apunta al sitio real de CNN en Estados Unidos a su respectiva liga:

– Privacy guidelines

– Contact us

– Manage settings

Al sitio que llevan las ligas falsas. Muestran una página con fondo negro y un logo mal colocado de CNN donde supuestamente se reproduciría un video.

Pero inmediatamente aparece una ventana que emula una ventana que podría desplegar el reproductor de Flash solicitando se actualice la versión para poder reproducir el video.

Esa actualización de Flash no es tal sino un troyano:

Trojan-Downloader.JS.Psyme.ake

Si uno no acepta la descarga vuelve a aparecer una ventana, esta vez de JavaScript con el mensaje:

“You need to download proper Codec to play this movie. Click ‘OK’ to start download.”

Presionas cancelar y luego aparece el mensaje

“Please install proper Codec.”

Regresando al mensaje original que finalmente obliga o a cerrar la ventana o a cerrar el navegador ya que no deja hacer nada más.

Otro mensaje que llegó el día de hoy es también de CNN pero es sólo un mail alert. En él sólo la liga que es de la historia completa “Full Story” es la que lleva al sitio falso que busca descargar el Troyano (Trojan-Downloader.Win32.Exchanger.la) y esta vez está en Rusia.

Aquí ya se empeñaron un poquito más en poner el fondo blanco para que el logo se viera mejor y una cantidad considerable de links y rellenos maquillados para hacerlo parecer más real. Lo que parece sin lugar a dudas más real es la Pop-up que indica que la versión de Flash es incorrecta.

En el caso del navegador que uso: Opera, la ventana de JavaScript tiene una opción donde uno puede desactivar la ejecución de los Scripts para casos como éste donde el sitio es fraudulento o cuando está mal programado.

Nuevamente, Kaspersky Internet Security 2009, frenó el ataque en su módulo “Web Traffic” e indicó  oportunamente la presencia del Troyano.

Aquí lo puedes descargar

Saludos

Tarjeta Metropostal – Correo falso

null

Agotados los recursos de Gusanito, NIX y otros ahora recurrieron a Metropostal.

Te llega un correo con una pantalla similar a la que aparece aquí. El texto, evidentemente escrito al “aventón” dice:

“Una perona especia te ha enviado…”

O sea que una perrona especie te ha enviado una postal?

Si se hace clic en el vínculo, no te lleva a la dirección que aparece debajo y supuestamente te llevaría a la susodicha postal. Te envía a un sitio mal hecho y mediocre con un contador donde te pide que descargues la última actualización del “Macromedia Flash Player”

Macromedia???? Debería ser Adobe Flash Player y esto ya no sucede, si no tienes las versiones 7 en adelante, ni siquiera tienes que ir al sitio a descargarlo, la página te redirecciona automáticamente o en su defecto se autoinstala sin que tú tengas que salir del sitio donde se encuentra tu animación. Evidentemente es falso.

Supuesta descarga de flash
Supuesta descarga de flash

El supuesto archivo que sale de aquí es  “InstallFlashPv9.3.exe”

Pero internamente el archivo es un proyecto de nombre “best.exe”

Sin firma digital,  sin identificadores del fabricante. Nada.

Así como ayer, estoy esperando el diagnóstico del laboratorio antivirus para saber qué es lo que tiene dentro. Aunque la evidencia hasta ahora, apunta a que seguramente, si lo abres, te encontrarás con un troyano.

El reporte indica que el archivo contiene un Trojan-Downloader.Win32.Exchanger.fd

De aquí puedes bajar herramientas para quitarlos
http://www.kaspersky.com/removaltools

Y de aquí la versión de prueba completamente de la aplicación que yo tengo (Kaspersky Internet Security 2010) completamente funcional. Selecciona licencia de prueba cuando lo instales y te dará 30 días de licencia.

ftp://ftp.kaspersky.com/products/spanish/homeuser/kis2010/kis9.0.0.736es.exe

Suerte

Tarjeta de NIX – Correo falso

Parece que después de que ya casi nadie se cree que ha recibido una tarjeta de Gusanito, llega otro correo de otro sitio que ofrece servicios de tarjetas electrónicas, en este caso ONIX. Una copia del correo que llega a continuación.

Si copias y pegas la dirección que viene ahí te lleva a una tarjeta de “No cumpleaños” algo bizarra. Sin embargo, el problema viene cuando haces clic directamente en el correo. Cualquier liga te lleva a descargar un archivo ejecutable con código que no da mucha confianza.

Tips para saber si la tarjeta es real o un posible virus

1.  Cuando una amistad te envía una tarjeta, generalmente el título menciona el nombre de tu amistad. Por ejemplo: “Regina te envió una tarjeta” y dentro del texto del correo a veces menciona el apellido. Cuando es anónima, mejor desconfiar.

2.  Haz clic derecho con el mouse sobre la liga o hipervínculo que viene en el correo y que te llevaría a abrir tu tarjeta. Luego selecciona copiar y pégalo en un bloc de notas. Si la liga no tiene nada que ver con el sitio que se supone que te envió la tarjeta (Gusanito, Hallmark, ONIX, etc.) seguramente te quieren enviar un caballo de troya.

3. Si tu cliente de correo te advierte de posible SPAM, tampoco hay que arriesgarse.

Con tanta red socail ahora, las tarjetas electrónicas han pasado a otro término, es raro que se envíen tarjetas así los usuarios de 10 a 30 años que representan el 50% de la navegación de Internet.

Ya está confirmado, el archivo trae el virus Troyano: Trojan-Banker.Win32.Banker.qkv Este tipo de bicho te redirige a páginas bancarias falsas, es decir, cuando introduces la dirección de “x” banco, en vez de ir al sitio Web del banco, te dirige a un sitio Web fraudulento donde buscarán hacerse de tu usuario, contraseña y cuenta bancaria.

Todo archivo con extensiones: vbs, com, exe e inclusive mp3, asx, asf, wma, wmv, scr son potencialmente peligrosos si llegan de desconocidos.

De aquí puedes bajar herramientas para quitarlos
http://www.kaspersky.com/removaltools

Y de aquí la versión de prueba completamente de la aplicación que yo tengo (Kaspersky Internet Security 2009) completamente funcional. Selecciona licencia de prueba cuando lo instales y te dará 30 días de licencia.
ftp://ftp.kaspersky.com/products/spanish_latam/homeuser/kav2009/kav8.0.0.506latam.exe

Actualizada la liga al 8 de agosto de 2009 =)

Saludos

Muere Chespirito de un Paro Respiratorio – Correo Falso

Para no variar, aprovechando que el señor Gómez Bolaños tiene asuntos con el señor Villagrán, mandan un correo cuyas ligas apuntan a una página colgada en un servidor en Alemania que descarga un ejecutable. Dicho ejecutable contiene código malicioso.

El correo parece ser enviado del periódico “La Crónica” pero lo único que es de ahí es la imagen. Clama que el artículo es del pasado 7 de febrero y liga hacia un supuesto video y al plug in de Flash.

Ambas ligas apuntan a un archivo ejecutable que inocula el bicho en la computadora de la persona que se le ocurra ver el susodicho artículo.

Algo curioso es que contiene una sección denominada “Lo más leído de hoy” donde la tercera noticia es “Jesucristo vs. Superman”

En fin… el morbo gana en estos casos, sobretodo cuando la gente está ociosa y es tiempo de vacaciones. Aguas!!!