bueno pss viendo una de mis pg de confianza me encontre esta notice super urgente , si les llega a su correo un anuncio como este ’CHECK OUT THE NEW SIMPSONS EPISODE THAT WE’RE ONLY RELEASING TO THE INTERNET AIM FANS! BE THE FIRST TO EXPERIENCE THE MAGIC BY CLICKING THE FOLLOWING LINK: http://XXX
porfavor no lo abran ya q descarga un virus
fuente
S21sec Blog. Seguridad digital.: Homer Simpson es malicioso
notice:
Homer Simpson es malicioso
En uno de los episodios de la temporada 14 de los Simpsons (2002), con título "El padre que sabía demasiado poco", Homer revela que su dirección de correo electrónico es
chunkylover53@aol.com. De hecho, la dirección realmente fue registrado por uno de los productores y respondía todos los correos que se recibían en esa cuenta como si fuera el mismo Homer.
Como todas las cuentas de AOL, son no sólo cuentas de correo, sino también cuentas de mensajería instantánea (al igual que Yahoo o Hotmail). Y
parece ser que durante estos días hay una serie de cuentas en AOL que pretenden ser Chunkylover53 para intentar infectar a la gente con un código malicioso, con el siguiente mensaje:
’CHECK OUT THE NEW SIMPSONS EPISODE THAT WE’RE ONLY RELEASING TO THE INTERNET AIM FANS! BE THE FIRST TO EXPERIENCE THE MAGIC BY CLICKING THE FOLLOWING LINK: http://XXX
SELECT RUN, (or RUN from current location) OR save to DESKTOP and DOUBLE CLICK!
ENJOY, AND SEND US YOUR FEEDBACK!‘
La verdad es que tiene mérito aprovecharse de un detalle en un episodio de los Simpson para intentar infectar masivamente. Hemos visto recientemente utilizar cualquier motivo (San Valentín, el 4 de Julio, un desastre, los juegos olímpicos, el europeo de futból, etc.) y seguiremos viendo motivos cada vez más realistas, porque no nos engañemos, el eslabón más débil somos nosotros.
PD: aunque en un principio se comentó que se estaban lanzando los mensajes desde la cuenta
chunkylover53@aol.com, realmente se están usando cuentas aleatorias y luego utilizando el nombre de Chunkylover53.
PD2: el binario que intenta infectar es una variante del
Turkojan, un troyano turco de pago que no es muy frecuente encontrar en ataques relacionados con el fraude, sino más bien en casos aislados de gente interesada en el robo de información.
y psss ampliando la info sobre le virus les dejo esto y como solucionarlo si es demasiado tarde pa algunos
--------------------------------------------------------------------------
descripcion:
Troyano de puerta trasera escrito en Borland Delphi, y fichero de descarga(dropper) de la parte servidora, que se instala sobre la máquina víctima.
El nombre final del fichero de instalación de la parte servidora puede variar de unas infecciones a otras. Algunos casos han identificado este fichero con el nombre C
PROGGY.EXE.
solucion
Uso de antivirus actualizado.
detalles
Cuando el servidor es ejecutado, se instala a si mismo sobre la máquina infectada en el directorio del sistema de WIndows con el nombre WINOLDAPP.EXE.
Añade la siguietne clave de registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run"Winoldapp" = C
WINDOWS\SYSTEM\WINOLDAPP.EXE Para failitarse su ejecución junto al inicio de Windows.
Una vez instalado, abrirá varios puertos de servicio TCP para esperar la conexión del hacker. Tanto la cantidad de puertos abiertos, como el número de cada uno de ellos, no puede ser determinado con exactitud ya que puede variar en cada infección.
Añade también la siguiente clave al registro:
HKEY_CURRENT_USER\Software\Turkojan El troyano almacenará datos con los detalles finales de la instalación para después enviarlos al hacker. EL número de cada puerto, la dirección IP y la clave de acceso al servidor serán enviados vía HTTP a través del puerto 80.
espero q les haya servido la info y ojo mantengan su antivirus actualizado y como dijo un amigo
"el mejor antivirus es usted mismo" pero no sobra la ayudita de un software