Más supuestas postales de Gusanito -Botnet en progreso!!!

El día de ayer recibimos la notificación de un correo supuestamente enviado por Gusanito.com. En el cuerpo, se pueden apreciar varios enlaces que llevan a la descarga de malware y además una Advertencia que trata de prevenir al usuario acerca de correos electrónicos que pretenden ser de gusanito... Algo irónico, por cierto!!!

Cualquiera de los enlaces mostrados lleva a la descarga del ejecutable postales.exe, el cual está alojado en un sitio, al parecer comprometido por los creadores del malware.

Hasta el día de hoy, sólo 13 fabricantes de antivirus lo detectan como amenaza:

La información digital de la muestra es la siguiente:

Al parecer, el código malicioso todavía está en fase de desarrollo, ya que al ejecutarse en el laboratorio, sólo levantó un proceso con el mismo nombre y estableció una conexión al servidor web 93.174.91.3, misma que terminó al cabo de unos cuantos segundos. Tampoco realizó algún tipo de modificación en el registro de Windows para asegurar su ejecución con cada reinicio del sistema.

En el tráfico, se detectaron las consultas DNS realizadas al servidor web mencionado.

Además, se encontró una petición POST hacia el mismo servidor que manda información referente al equipo infectado, así como la variable botver=Beta, a través de la cual se puede inferir que el código malicioso todavía no está terminado.

Por último, como parte de la petición que realiza el bot, se pudo determinar la página principal de la que al parecer es la consola de administración de la botnet.

Hasta el momento, no existen elementos que nos permitan determinar el objetivo de la variable code, ni del comando que se envían como parte de la petición POST; ni tampoco de la supuesta cookie de php que envía el servidor como respuesta.