En el blog de ReYDeS que es parte de PeruSEC, grupo de investigación en temas de tecnología y seguridad informática, hay un completo análisis de este caso. Espero que alguno de ustedes no sea embaucado.
Falleció famoso cantante GianMarco en accidente automovilistico. + Malware
Enviado por ReYDeS el Lun, 07/07/2008 - 10:25.Saludos:
Y son capaces de matar personas virtualmente solo para lograr sus objetivos. Simplemente impresionante.
-> El correo electrónico:
Sí se fija bien en la fecha de la "noticia" se puede observar 2 de Julio mientras que el correo llega al buzón el día 6 de Julio. E indican que el entierro se realizará el día 4. Una interesante mezcla de fechas.
Las URL incluidas en el cuerpo del mensaje son las siguiente:
http://www.elcomercio.com.pe/files/image/logo.gif
http://img211.imageshack.us/img211/2003/comerciohn4.jpg
http://ads.elcomercioperu.com.pe/RealMedia/ads/Creatives/OasDefault/00_2...
http://www.statictvazteca.com/servicios/videos/images/icn_01.gif
http://videos.eluniversal.com.mx/img/sobre1.gif
http://videos.eluniversal.com.mx/img/amigo1.gif
http://img183.imageshack.us/img183/4010/barrajt2.png
http://img170.imageshack.us/img170/5300/conecsq8.gif
http://img517.imageshack.us/img517/5636/frhm3.gif
Algunas de las imágenes enlazadas directamente de la página de El Comercio y otras de imageshack.
-> Las cabeceras del mensaje:
Los datos relevantes son los siguiente:
* Subject: Falleció famoso cantante GianMarco en accidente automovilistico.
Resula interesante descubrir y percibir el "ingenio" para maximizar las posibilidades de catar nuevas víctimas. En este caso, una noticia que a muchas personas caería como un valdazo de agua fría, y es nada menos que la muerte de un cantante reconocio, y para aumentar el morbo, en un accidente automovolístico.
* From: El Comercio. info@elcomercio.com.pe
El remitente del mensaje, obviamente ha sido falsificado, para dale mucho más realismo al mensaje de cara al destinatario final. En este caso no se especifica dirección de respuesta "Reply-To".
* Received: from s10.xrea.com ([219.163.200.74])
by mail.xxxxxxxx.com with smtp (Exim 4.63)
(envelope-from )
id 1KFNLb-0008Dv-W2
Poca información en lo referente al origen del mensaje. Pero se trata de obtener algo de ello. Realizando una consulta WHOIS al dominio en cuestión xrea.com. Japón X)
xrea.com es un servicio de hosting web gratis, tál y como puede coligarse de sú pagina web. Y que se muestra en la siguiente imágen:
Para verificar esta información realizo una rápida busca en google, por el subdominio s10.xrea.com. Estos son algunos de los resultados:
-> El malware:
El malware estuvo ubicado en la siguiene URL:
http://spiral-slides.com/catalog/images/Video_Accidente.exe
Y expreso la palabra "digo", porque no me fué posible obtenerlo, dado que la URL, ya almacena dicho malware.
Tál y como puede apreciarse en la siguiente imágen de la página en spiral-slides.com
En este momento utiliza una versión de osCommerce 2.2-MS2 y por la ruta en la cual se almacena el malware y el software utilizado, ya podría tener una idea de como se realizó el compromiso y posterior almacenamiento del malware allí.
Escalando directorio hasta catalog/images muestra la siguiente información:
Haciendo un escalado más de directorio: a catalog/ Se muestra una configuración por defecto de osCommerce, acompañada de una advertencia muy interesante an la parte superior de la página en cuestión, tál y como puede apreciarse en la siguiente imágen:
Finalmente si una se dirige a la URL en cuestión que revela el coloreado mensaje de advertencia, se puede visualizar lo siguiente:
Y lo dejamos allí. La imaginación y habilidad es el límite.
Nota: Por favor utilizar la información de manera adecuada.
Es todo de momento.
Atte:
