Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Virus disfrazado como alerta de ataques terroristas
 
VSantivirus No. 1268 Año 8, sábado 27 de diciembre de 2003

 Virus disfrazado como alerta de ataques terroristas
http://www.vsantivirus.com/27-12-03.htm

Por Angela Ruiz
angela@videosoft.net.uy

El Malaysian Computer Emergency Response Team (MyCERT), ha reportado la propagación de un correo electrónico que utiliza una supuesta alarma de terrorismo para incitar a los usuarios a hacer doble clic sobre un enlace malicioso que descarga y ejecuta un troyano.

Aunque el mensaje no parece haber sido visto en otros países, es importante que se tenga en cuenta esta forma de propagación de código maligno, puesto que es muy fácil trasladarla a cualquier otra parte del mundo, explotando el lógico temor ante actos de este tipo.

El mensaje reportado, se identifica con el asunto "urgent message for all Malaysians", y simula provenir de una fuente anónima dentro del gobierno malayo, que advierte tener el conocimiento de "por lo menos 5 actos planeados de terrorismo, y de los supuestos lugares y fechas que se llevarían a cabo". La razón que se da para distribuir esta información, es "minimizar la cantidad de víctimas".

El correo electrónico insta a los que "piensan en el futuro de sus parientes (sic)", a pinchar en un enlace empotrado en el mensaje, que se supone lleva a un sitio web que proporciona información "que probablemente salvará su vida".

Siguiendo el enlace, solo se activa un programa que descarga tres archivos maliciosos en la computadora del usuario, y modifica el registro. El código procura entonces conectarse con tres servidores específicos de Internet desde la computadora infectada.

Es probable los sitios fueran utilizados para lanzar otros programas maliciosos, pero actualmente han sido dados de baja.

El troyano se asemeja al W32/Spy.Tofger.H.

Cuando se pincha en el enlace, se crean los siguientes archivos:

C:\2.exe
C:\Windows\msto32.dll
C:\Windows\svchost.exe

Crea la siguiente entrada en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Online Service = system.exe

Al ejecutarse, se conecta a tres sitios de Internet, desde donde descarga y ejecutan otros posibles troyanos.

La descripción completa del troyano puede ser consultada en el siguiente enlace:

W32/Spy.Tofger.H. Se ejecuta desde archivo HTML o PHP
http://www.vsantivirus.com/tofger-h.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS