Mi espacio utópico y catártico

Entradas etiquetadas como “virus

Facebook Account Update – Correo Falso

Desde hace unas semanas está llegando un correo en inglés alegando ser de Facebook.

091028FBFraud01

El texto se traduce así:

“Querido usuario de Facebook, en un esfuerzo de hacer tu experiencia en línea más segura y disfrutable, Facebook estará implementando un sistema de firmado que afectará a todos los usuarios de Facebook. Estos cambios ofrecen nuevas características y un aumento en la seguridad de tu cuenta.

Antes de que uses el nuevo sistema, necesitamos que actualices tu cuenta. Haz clic aquí para actualizar tu cuenta en línea.

Bla bla bla”

Donde haces clic te lleva a una URL que empieza con http://www.facebook.com.xxx…. lo que sigues después de las xxx es un dominio que no tiene nada que ver con Facebook.

Pistas de que es un correo falso

– El correo evidentemente no llega de Facebook aunque el remitente eso indica “Facebook [update+yhlemnuad@facebookmail.com]” (1) Qué dominio es ese de facebookmail.com, pero quién no está metido en estos rollos, le puede parecer correcto.

– Sin embargo, revisando el encabezado del correo – generalmente oculto – se aprecia que de donde llega el correo es de un dominio en rusia slamdunk.ru (2) pocos tenemos activo el visualizar el encabezado completo del correo, pero para quién lo tenga, tiene el segundo elemento de sospecha: ¿porqué llega de Rusia y no de Estados Unidos?

– Si navegas por el famoso e infame Internet Explorer en cualquiera de sus sabores podrás, como ha sido costumbre, entrar sin problemas al sitio fraudulento. Éste se presenta prácticamente igual a la ventana de login del Facebook real.

091028FBFraud02

En el campo de e-mail, coloca tu correo en automático. Tal vez te llegó a hotmail y tu cuenta de Facebook la diste de alta en Gmail, (3) otro punto para sospechar.

Cada link distinto al botón login, te lleva al sitio real de Facebook.

– Un medio punto a favor de Internet Explorer 8 es, que resalta la parte del dominio que sale de lo común

091028FBFraud03

Por lo menos ahí también podría hacerte sospechar. (4) Todas las direcciones de facebook, incluyendo las aplicaciones tienen una “/” después del “.com”

Si pones cualquier contraseña, evidentemente se va a almacenar y se la va a mandar algún bastardo en rusia o en otro lugar. Pero sí pones tus datos correctos para firmarte en facebook, seguramente tu cuenta se usará para mandar spam. 😦

091028FBFraud04

– Al final te presenta esta página donde te reiteran la “jalada” de la seguridad y te piden que descargues la súper herramienta “updatetool.exe” (5) Si todo el sistema de Facebook se basa en Web, permitiéndote acceder desde dispositivos múltiples, ¿porqué tienes que bajar este programa? ¿Qué pasa cuando trate de entrar por mi teléfono? Raro ¿’no?

Si no cuentas con antivirus seguro lo ejecutas y tendrías en tu computadora un HEUR:Trojan.Win32.Generic 😦

Nuevamente, la mejor forma de protegernos contra fraudes es informarnos.

Gracias por leer esta entrada 🙂

R@U

Short link para esta entrada: http://wp.me/pc17m-bt

Actualización 5 de Noviembre 2009

Estos correos están llegando con diversos Asuntos y Remitentes:

De: Your Facebook Support
Asunto: Facebook Password Reset Confirmation. Customer Message.

Éste llega con un archivo zip adjunto “Facebook_details_0d7df.zip” adentro del zip se encuentra el ejecutable “Facebook_details_0d7df.exe” el cual tiene el troyano.

Anuncios

Update for Microsoft Outlook – Correo falso

Hoy me llegó un correo que ya había sido enviado meses atrás indicando de una actualización para Outlook y Outlook express. Le dabas clic a un link que podría parecer de Microsoft y te llevaba a descargar un troyano espía. Así es como se ve el correo

091022OutlookScamS

Aunque para los que estamos metidos en la computadora varias horas al día es ridícula una actualización para ambos Outlook al mismo tiempo, para una usuario común no lo es.

Al seguir la liga a eso de las 10AM, noté que Firefox la tenía ya reportada como falsa 🙂

091022Firefox

Pero Internet Explorer 8 aún con su famoso filtrado “SmartScreen” te deja entrar y si lo obligas a comprobarlo te dice que no notificó amenzas 😦 Así que “aguas!”

091022IE

Finalmente si de plano tienes mala suerte, no viste este post, llegas a descargar el archivo, si cuentas con Kaspersky Internet Security 2009 u otro antivirus de “verdad” 😉 será detectado de inmediato sin dejarte si quiera guardarlo en tu disco duro.

091022KIS2009

Los productos de Kaspersky los puedes descargar de este liga

ftp://ftp.kaspersky.com/products/spanish_latam/homeuser/

KAV es para el Antivirus y KIS para el Internet Security

Es importante mencionar que aún con antivirus, es posible que el programa, sitio o código malicioso pueda infectar tu equipo. La mejor arma para estas situaciones es el conocimiento y el sentido común. Antes de descargar algo y ejecutarlo en tu computadora, detente un momento a revisar la dirección de donde proviene, infórmate en medios como éste si es que alguien ha tenido alguna experiencia al respecto y finalmente decide que es lo más seguro.

Buen casi fin de semana


Tarjetas postales electrónicas en Messenger – Troyano

Chateando con una amiga en el Live Messenger durante la conversación parecío que me escribió

Mira la tarjeta que te hice http://bubbatarjetas.xxxxxxxxxx.xxxxxxxxxx

Como el link es genérico (sin parámetros o variables que indicaran que la supuesta tarjeta fue personalizada) me hizo pensarlo dos veces. Al hacer clic sobre la liga me apareció el ya conocido diálogo que no es de Adobe Flash donde tengo que actualizar la versión.

090705FlashTrojan

Obviamente te pide descargar un archivo sin firma digital y de nombre “Flash-Installer-Windows.exe”

El antivirus ni se inmutó, así que debe ser una variante que posteriormente aparecerá en las actualizaciones.

Mucho cuidado con lo que reciben aunque sea de parte de personas conocidas.

Abur

Actualización 7 de Julio 09

Prové en una PC Virtual a ver qué sucedía si ejecutaba el susodicho instalador. Las dos pruebas fueron así:

Primera prueba -> Sin Antivirus

– Prácticamente todos los ejecutables en la PCV fueron inoculados con el virus (Virus.Win32.Virut.ce) un verdadero dolor de cabeza.
– Los archivos que se salvaron fueron aquellos en uso: explorer.exe, msnmsgr.exe, pero al momento de reiniciar fueron infectados de inmediato.
– El Live Messenger tronó por todos lados, extraño porque por ahí es por donde llega. Tal vez la instalación del Messenger Plus! logró que no se iniciara.

Al ejecutar NOD32 Business Edition, éste detectó los archivos infectados, pero al ser tantos, simplemente se atoró el equipo y dejó de funcionar. Hubo que presionar el botón de encendido por unos segundos para apagarlo.

Segunda prueba -> Antivirus NOD32 Business Edition 2009 ACTIVADO

– Al momento de ejecutarse el instalador, NOD32 detectó 3 archivos de inmediato pero entró en un ciclo que provocó que el equipo colapsara. Cada archivo infectado era detectado, pero fueron tantos al mismo tiempo que no hubo oportunidad para salvar el equipo 😦

– Al reiniciar el equipo trataba de enviar el diálogo de NOD32 de infección de archivos, pero después de 30 minutos en el mismo estado, hubo que apagarlo.

–  Mismo efecto al reiniciar en “Modo Seguro”

Cómo deshacerse de él? Este caso puede ser único ya que no infectó completamente el equipo, detallaré las condiciones usando Kaspersky Internet Security 2009 ACTIVADO

– Arrancó el instalador y KIS detectó los mismos 3 archivos que NOD32 (el maldito log tronó y no supe cuáles fueron)

– El equipo empezó a colapsar por lo que use el Administrador de tareas para tirar el proceso Flash-Installer-Windows.exe ycon el KIS bloqueé eltráfico de red ya que empezó a descargar Trojan.Downloader.

– Cerré el equipo y arranqué en “Modo Seguro” ejecutando KIS y un análisis completo del equipo. En menos de 10 segundos que duró el incidente, había más de 300 archivos incluyendo varios de sistema infectados con el virus (Virus.Win32.Virut.ce)

–  Después de unas 4 reiniciadas y 4 re escaneos, el equipo parece recuperado. Otra cosa que se puede hacer es el sacar el disco duro y conectarlo por USB a otro equipo y pasarle un scan completo. El adaptador se puede obtener comprando un disco externo 5.25″ y desarmándolo. No tiene gran ciencia ya que el conector de datos y el de energía son idénticos al de una PC. Aplica lo mismo para notebook.

– Cabe mencionar que Live Messenger no quedó del todo bien ya que produce errores o se cierra cada cierto tiempo. KIS sigue de repente encontrando rastros del virus en ejecutables incluso dentro  de archivos comprimidos (ZIP y RAR)

Saludos


Circula por Internet video de ejecución del alcalde Otaez – Correo falso

090208reforma

No se cansan de tratar de infectar con troyanos los equipos de los mexicanos. Ni se cansarán. Ya que el morbo y la desinformación es una característica de la mayoría de los cybernautas de todo el mundo. Y en México, está aderezada con todos los eventos por la inseguridad que reina.

Esta mañana llega un correo con el título: “Circula por Internet video de ejecución del alcalde Otaez (Durango)”

Demasiado simplista y con una liga “equis” a Ver el vídeo.  Como se muestra en la imagen inicial de esta entrada.

El remitente evidente: Periodico Reforma [notas@periodicoreforma.com]

El remitente real: nobody@cpanel2.xdominio.com

Ya desde ahí ya se sabe que no es real. Si se da clic a la liga para ver el video. Se despliega una dirección que nada tiene que ver con el periódico Reforma y se muestra la ya chafa y socorrida ventana de un video que se quiere cargar. Obviamente, si realmente hiciera falta el conector de flash para verlo, no saldría ni siquiera el cuadro éste chafa de “Loading”

090208reformavideo

E inmediatamente después la otra ventana chafa de que la versión es “incorrecta” dizque de flash y que aunque hagamos clic en cancelar, no nos deja de otra más que aceptar la dizque actualización a la versión “correcta”.

090208reformaflash1

Si  ya le diste clic a la liga lo que se debe de hacer es cerrar el Internet Explorer. Dado que no te va a dejar hacerlo sigue los siguientes pasos:

1. Presiona la combinación de teclas Alt + Ctrl + Supr para desplegar el “Administrador de Tareas”

2. De la lista de Procesos búscate “iexplore.exe” y luego haz clic en “Terminar proceso”

En este caso sale a nuestra salvación un buena suite antivirus. En este caso. El Kaspersky Internet Security 2009 lo detectó de inmediato y ni dejó abrir la ventanaidentificándolo como un Troyano Genérico.

090208reformakis

No dejaré de insistir que un antivirus “de verdad” y no gratis, son de las inversiones (40USD) que debemos hacer a neustro equipo, además de un buen UPS.

Saludos


Virus en correo falso de Madonna haciendo declaraciones acerca de mexicanos – Correo falso

Correo OrejaAprovechando la víspera de la llegada de Madonna a México y la curiosidad y el morbo de la gente, llegó ahora un correo supuestamente del programa de chismes y estupideces que no sé cómo en nuestros días todavía tiene audiencia de TV “la Oreja”

Tiene como título “Madonna dice que los mexicanos somos los más feos del mundo.!‏” Algo que no creo que Madonna siendo un ser pensante y ni teniendo mil arranques de ira o depresión, hubiera declarado en público, en entrevista y menos a un reportero mexicano.

El correo podría confundir a más de uno, sin embargo tiene los siguientes detalles:

– El remitente es “info@hi5.com“. Primeros indicios de que el correo es falso.

– Es patrocinado por “Box.net“??? que es un sitio dedicado a almacenar archivos de cualquier tipo… desde fotografías hasta virus como es el caso. Y ya quisiera “La Oreja” que fuera patrocinada por ellos.

– La leyenda de derechos de autor data del 2004 :O ¿¿¿Cuatro años antes??? ¿Descuido?

– Cualquiera de las ligas a la que hagas clic, te lleva, irremdiablemente, a descargar el archivo “noticias.exe” de 30KB. A las 8:30AM de 3 antivirus, ninguno lo identificó como amenaza. Sin embargo lo puse a prueba en una máquina virtual y casualmente el archivito tiene comportamiento de Troyano.

Hay que desconfiar de cualquier correo no solicitado y más si viene de la Oreja jaja cuando eres un ser pensante y prefieres usar el tiempo de tu vida en algo que aporte.

Si te pide descargar algo, que no sea con las extensiones .exe, .vbs, .cmd, .bat o .com en el caso de las PCs con cualquier versión de Windows – aunque Vista reacciona distinto – Los usuarios de Mac o Linux no tienen de qué preocuparse.

Saludos

Actualización: Confirmado por Kaspersky Labs. El programa es un Trojan.Win32.VB.hcs

Como eliminarlo:

1. Reinicia tu computadora y después de la pantalla negra del POST donde se presenta, ya sea, información del motherboard, del BIOS, Memoria, etc. presiona la tecla F8 para que aparezca el menú de inicio de Windows.

2. Del menú selecciona “Modo seguro” o “Modo a prueba de fallos” arrancará Windows con una resolución de pantalla grande (640 x 480) con los colores mínimos (16 colores) pero está bien.

3. Abrir un explorador de Windows y buscar los archivos “winrun.exe” y “winlogin.exe” Asegúrate de tener activado el mostrar archivos ocultos y de sistema operativo. (Menú Herramientas -> Opciones -> Ver -> “Mostrar todos los archivos y carpetas ocultos” y Desactivar “Ocultar archivos protegidos del sistema operativo”

4. Bórralos

5. Inicio -> Ejecutar y en el campo de  “Abrir” poner “regedit.exe” sin las comillas.

6. Buscar la clave HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\Current Version\Windows y del lado derecho dentro de “load” borrar el valor y dejarlo en blanco. Cerrar regedit

7. Localiza el archivo “hosts” C:\Windows\System32\drivers\etc ábrelo con un “Bloc de notas”, borra todo su contenido y guárdalo.

8.  Reinicia.

Realiza un scan en línea para verificar la existencia de algún malware. Kaspersky scanner online

Saludos


Circula video de avionazo (El Universal) – Correo falso

Aprovechando el “accidente” que tuvo el LearJet el 4 de Noviembre en la Ciudad de México, hoy llega un correo nuevamente falso, buscando explotar el morbo o la curiosidad del receptor. El remitente supuestamente es el diario mexicano El Universal. Pero realmente llega de otra fuente que nada tiene que ver con él.

El Universal (falso)

El texto mal redactado y sin ortografía – primer indicio que te hará pensar: “ésto no viene de El Universal” – reza así:

Circula por la web video captando el momento del avionazo en el que Fallece el Secretario de Gobernación de México
El dia lunes 10 de noviembre, un espectador presenta grabación donde se muestran imagenes precisas del descenso y colapso de la aeronave en la que viajaba el secretario de gobernacion Juan Camilo Mouriño, acompañado del ex titular de la SIEDO José Luis Santiago Vasconcelos y otros funcionarios; tal catastrofe ocurre a escasos metros de Periférico y Paseo de Reforma.
Se estima que gracias a esta grabación el trabajo de Peritos y Forenses internacionales se facilite y lleguen a una conclusión en los proximos días.
Ver video.

El link ver video lleva a un servidor que para nada es de El Universal y para no variar aparece una página que a todas luces es falsa pero que podría engañar a más de un despistado o persona que podría estar empezando a hacer uso del Internet y las computadoras.

Video Falso_Una página completamente negra con solamente el control del video y que aparece con la leyenda “loading”.

Otra evidencia que nada tiene que ver con el periódico El Universal.

Si nos fijamos en la dirección, estamos entrando a un sitio donde, si dejamos que suceda, nos descargará un archivo ejecutable (terminación .exe) que al presentarse directamente en la dirección – no mostrada por obvias razones – nuestro navegador intentará reproducir en nuestros equipos.

Después de un segundo aparecerá el ya típico diálogo emulando la que nos aparecería si necesitáramos actualizar nuestra versión de flash.

Diálogo Falso de Flash

Me supongo que han de ser los mismos tipos ya que es igual al que aparece siempre que te quieren engañar con eso de la versión del Flash.

Si no cuentas con un buen antivirus o suite de seguridad, el diálogo no te dejará hacer nada sino hasta que presiones el botón “Ok”

sds

Necesitarías apretar la combinación mágica (a veces no funciona cuando algún malware nos infectó y desactiva o el programa o la combinación) Alt + Ctrl + Del para invocar al Administrador de tareas.

Task Manager Haces clic en la pestaña “Procesos” y seleccionas el proceso que te suene como al nombre de tu navegador.

Luego presionas el botón “Terminar proceso” para poder salir de él.

En el caso de Kaspersky IS 2009 aparece de inmediato el bloqueo del ejecutable y el mensaje de que el sitio está infectado con Heur.Trojan.Generic.

Para algunos puede parecernos evidente que es un fraude donde seguramente buscarán infectar nuestro equipo con algún malware, pero para otras personas, no.

Espero les sea de ayuda.

Saludos


Frustrado el atentado al presidente Felipe Calderon – Correo falso

Otro correo más con un troyano. Después de haber recibido, con éste, 3 correos que direccionaban a una página de CNN y notando como iban evolucionando. Desde un sitio mediocre hasta uno, más o menos creíble y bien hecho, llega éste con remitente falso como si lo enviara el periódico mexicano “El Universal”

Al hacer clic en cualquiera de las ligas del mismo ya ni siquiera abre un sitio que parezca de CNN. Simplemente abre una ventana de descarga donde un archivo ejecutable con el nombre “Video Testigo.exe” es detectado oportunamente por el Kaspersky Internet Security como un

Trojan-Dropper.Win32.VB.dvf

Cabe mencionar que dicho Troyano sólo consitutye una amenaza para la plataforma Windows, quedando exentas Mac y Linux que podrian ser las plataformas de más uso después del sistema de Microsoft.

Saludos