VSantivirus No. 840 - Año 6 - Viernes 25 de octubre de 2002
FriendGreetings, una falsa tarjeta de saludo
http://www.vsantivirus.com/friendgr.htm
Nombre: FriendGreetings (Friendgr)
Tipo: Gusano de Internet
Alias: Friend_Greeting@mm, Iworm.Friendgr, WORM_FRIENDGRT.A, Friendgreetings
Fecha: 25/oct/02
Este gusano se difunde a través de un mensaje que informa al destinatario que alguien le ha enviado una tarjeta de saludo, invitándolo a visualizarla:
Asunto:
<Destinatario>
you have an E-Card from
<Remitente>
Texto:
Greetings!
<Remitente>
has sent you an E-Card -- a virtual postcard
from FriendGreetings.com. You can pickup your E-Card at
the FriendGreetings.com by clicking on the link below.
http://www.friendgreetings.com/pickup/pickup.aspx?code=[xxx]
Message:
------------------------------------------------------------
<Destinatario>, I sent you a greeting card. Please pick it up.
<Remitente>
------------------------------------------------------------
Al acceder al sitio Web mencionado en el mensaje, se le pide descargar un falso programa instalador llamado
INSTMSIA.EXE. Este programa contiene al gusano propiamente dicho.
Cuando el usuario pincha sobre el enlace correspondiente, se le muestra una ventana con una falsa advertencia, pidiendo la descarga de un certificado de seguridad:
Security Warning
Do you want to install and run "FriendGreetings"
signed on 10/23/02 2:29 PM and distributed by:
Permissioned Media Inc.
Publisher authenticity verified by Thawte Server CA
Caution: Permissioned Media Inc. asserts that this
content is safe. You should only install/view this
content if you trust Permissioned Media Inc. to make
that assertion.
[ ] Always trust content from Permissioned Media Inc.
[ Yes ] [ No ] [ More Info
]
Si el usuario acepta haciendo clic en "Yes", se ejecuta el gusano, copiando los siguientes archivos:
Friend Greetings.msi o Friend%20Greetings[1].msi
%Program Files%\Common Files\Media\Otms.exe
%Program Files%\Common Files\Media\OTDock.dll
%Program Files%\Common Files\Media\Otglove.dll
%Program Files%\Common Files\Media\Otupdate.exe
%Program Files%\Common Files\Media\Winsrvc.dat
%Program Files%\Common Files\Media\Winsrvc.exe
%Program Files% corresponde a la carpeta "Archivos de Programa" de Windows (por Ej.:
C:\Archivos de programa).
Luego, descarga y ejecuta el falso instalador llamado INSTMSIA.EXE.
Este último se trata de un archivo MSI (Microsoft Installer Package) falso, que contiene la mencionada tarjeta de saludo. Al aparecer esta en el browser, se muestran dos falsos acuerdos de licencia para su uso (License Agreement). Uno de ellos pregunta al usuario si se le permite acceder a la libreta de direcciones del Outlook, para enviar un mensaje de correo con la invitación de descargar los productos de FriendGreetings.
Si el usuario acepta, el programa envía un mensaje como el recibido antes, a todos los contactos de la libreta.
Si no acepta, el gusano finalizará su acción, sin ninguna otra consecuencia.
En caso de haberse instalado el gusano en su computadora, proceda como se indica a continuación para quitarlo manualmente:
Con el Explorador de Windows seleccione una de las siguientes carpetas (la que corresponda a su versión de Windows):
C:\Program Files\Common Files\Media
C:\Archivos de programa\Archivos comunes\Media
Busque en la carpeta "Media" el archivo: UNINSTAL.EXE
y ejecútelo.
Seleccione Inicio, Configuración, Panel de control. Seleccione "Agregar o quitar programas", busque en la lista de aplicaciones "FRIEND GREETINGS" y pinche en el botón "Agregar o quitar..."
Relacionados:
FriendGreetings II. Envío masivo de tarjetas de saludo
http://www.vsantivirus.com/friendgr-b.htm
FriendGreetings III. Envío masivo de tarjetas de saludo
http://www.vsantivirus.com/friendgr-c.htm
FriendGreetings IV. Versión con troyano "Hide Minimized"
http://www.vsantivirus.com/friendgr-d.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
