"Actualizate" es el título que utiliza un nuevo correo que dentro de su cuerpo dirige a los usuarios a descargar un binario que realiza un ataque de pharming.

El mensaje utiliza los logos y textos de la firma Telmex. Sin embargo, las referencias que utiliza apuntan hacia sitios externos que propagan el malware.

El binario malicioso lleva por nombre "update.exe" y al ejecutarse en el sistema modifica las tablas del archivo hosts con el propósito de dirigir hacia un sitio falso las consultas al dominio de Banamex por parte de los clientes infectados.

Nos ha llegado un reporte urgente acerca de la propagación de un correo falso supuestamente emitido por el periodico "El Universal". Este correo llega con el subject: "Más de 70 Muertos en Avionazo Guadalajara Mexico".

El cuerpo del mensaje contiene una imagen de un video que apunta a un sitio Web malicioso con la intención de que sus víctimas descarguen un bot que infecta el equipo.

Una vez ejecutado el bot "0WWW985492265GDJ2.exe", que se descarga del sitio Web malicioso, se copia con el nombre de "WinMedia.exe" bajo el directorio WINDOWS (en el caso de un sistema Windows XP)y genera el proceso llamado "0WWW985492265GDJ2.exe". Además, para garantizar su activación en cada reinicio del sistema agrega una entrada llamada "SystemMigration" en la llave del registro Run del sistema comprometido.

El bot intenta realizar una conexión al sitio remoto llamado irc.ccpower.com.mx. Este alias es asignado a las siguientes direcciones IP: 208.53.135.108, 208.98.62.226, 208.98.62.227, 69.64.53.231, 208.53.135.107. Sin embargo, ya no se encuentran activas ninguna de ellas por lo que las conexiones con el servidor IRC son rechazadas.

La semana pasada registramos un caso de una tarjeta falsa de gusanito que propagaba una variante de este malware (Malware Blog-Semana 22), ya que se conecta al mismo servidor IRC pero las firmas de los binarios son distintos. Reportamos el servidor IRC y por tal motivo suponemos que se encuentra actualmente fuera de línea.

Es importante mencionar, que aún son pocas las firmas antivirus que reconocen este bot por lo que sugerimos evitar abrir los mensajes con estas características.

Llegan más reportes a cerca del downloader "video.exe". Este troyano descarga sobre todo software espía en el equipo comprometido.

Se propaga a través de sitios Web que son comprometidos para alojar el malware. Afortunadamente ya son más las firmas AV que detectan este código. Sin embargo, debido a que ya lleva más de 4 meses de su propagación, constantemente se liberan nuevas variantes.

Buen día, hoy comenzamos nuestra semana con un caso de pharming a Banamex. Sin duda, los desarrolladores de pharming cada día son más astutos. Para este caso envían un correo falso anunciando un supuesto sorteo de Coca – Cola que invita a descargar un formulario.

Este supuesto formulario edita la tabla de hosts de la víctima. Sin embargo la dirección IP falsa que agrega en este archivo la agrega con saltos de línea para que no se perciba a simple vista la modificación.

En la imagen mostrada no se observa la dirección falsa a Banamex. Sin embargo, si nos desplazamos al final del archivo se podrán observar los dominios y la dirección IP a donde son redireccionadas sus víctimas.

Las direcciones falsas ya las hemos reportado para su cese inmediato del phishing.