Debe estar conectado para participar
Buscar en los foros:


 






Uso de Comodín:
*    coincide cualquier número de caracteres
%    coincide exactamente un caracter

Spam de troyanos

No hay Etiquetas
Entrada
Invitado

05:46 22/11/2002

1

Detectada una nueva ola de envíos masivos de e-mails para distribuir
troyanos. En esta ocasión intentan engañar al usuario simulando ser un
mensaje de su propio servidor de correo que no ha podido ser entregado
y viene devuelto.

Los mensajes tienen como remitente MAIL-DAEMON@[dominio_del_usuario],
asunto "FAILED DELIVERY", el cuerpo es un texto que simula ser un
aviso del servidor de correo que informa que no ha podido entregar un
mensaje, y por último nos encontramos con el archivo adjunto MAIL.HTA.

Como muestra uno de los envíos recibidos en Hispasec:

<—
From: mail-daemon@hispasec.com
To: bernardo_quintero@hispasec.com
Sent: Tuesday, November 19, 2002 7:57 PM
Subject: FAILED DELIVERY

Your message, attached
did not reach the reciepent.
181207@hispasec.com #5.5.0 smtp; 550 Requested action not taken:
mailbox unavailable.
- —>

También se han detectado envíos con el siguiente cuerpo en el mensaje:

<—
Unfortunately, it was not possible to deliver one or more of your
messages. For more information, please, take a look in the attachment.
- —>

En ambos casos se adjunta el archivo MAIL.HTA (HTml Application) que
contiene el troyano. En caso de que el usuario abra dicho fichero se
despliega una ventana con un mensaje HTML falso para despistar,
mientras que de forma oculta al usuario se escribe el troyano en el
disco duro y procede a su ejecución.

El procedimiento es muy simple, MAIL.HTA lleva una sencilla rutina en
VBScript que se encarga de hospedar el volcado del troyano en una
variable, escribirlo en el disco duro del usuario, como
"c:\Progra~1\Outloo~1\outl32.scr" o "c:\sys615.scr", y ejecutarlo.

El troyano volcado es reconocido por algunos antivirus como
"Downloader-BO" o "Inor", y ya ha sido utilizado en otros spams
similares. Su principal función consiste en conectar con una servidor
de Internet y descargar nuevos componentes y troyanos.

Lo más curioso de este incidente ha sido el uso de la Ingeniería
Social, el hecho de hacer pasar el mensaje por un aviso del servidor
de correo del usuario, invitándole a abrir el archivo adjunto.

En cuanto a la ola de spams distribuyendo troyanos, que ya tuvo
una incidencia significativa el pasado 12 de noviembre, una de las
hipótesis que se barajan es que se trate de un intento de hacerse
con el control del máximo número de PCs para posteriormente
utilizarlos de forma coordinada en un ataque masivo tipo DoS.

Desde Hispasec, una vez más, aconsejamos extremar las precauciones
a la hora de abrir archivos adjuntos que lleguen a nuestro buzón,
de forma especial en aquellos casos que no hayamos solicitado su
envío explícitamente. En caso de duda, algo tan simple como pedir
confirmación al remitente puede evitar en ocasiones problemas
mayores.

Fuente Hispasec