Intercambio de ideas sobre Tecnologías de la Información y Comunicación, Sociedad de la Información, Seguridad de la Información, Cybercrimen y temas relacionados. Damaso Fonseca
viernes, 28 de diciembre de 2007
Storm Worm! Enrolate a mi por fin de año! :D
Interesante esta ultima "lluvia de malware" que se esta dando en estos momentos aprovechando las fiestas navideñas y de fin de año.
Resulta que están llegando correos SPAM incitando a entrar, descargar y abrir (ejecutar) un malware de las siguientes paginas:
ENTRAR BAJO PROPIO RIESGO
http://merrychristmasdude.com
http://happycards2008.com
http://newyearcards2008.com
http://uhavepostcard.com
http://newyearwithlove.com
Lo curioso y que llama la atención de todo esto, es la técnica utilizada.
Primero, el malware va mutando según vaya siendo detectado por los motores antivirus, cosa que se hace con mas posibilidades de infectar. Hasta el momento tengo 5 muestras diferentes, de las cuales las 2 primeras que recolecte, ya eran casi en un 100% detectados por los Antivirus en Virustotal, y los otros 3 apenas llegaban al 12% de motores que lo detectaban.
Segundo, el malware no es cualquier malware, usa tecnicas Rootkit y toma en nombre del archivo services del windows, demas esta decir que no sale nada mas en los procesos. (Los antirootkits si lo detectan, al menos los que usé)
Tercero, esta usando un servicio FAST-FLUX para estar el tiempo suficiente en internet y sea dificil su desacticavión. Tienen una cantidad "envidiable" de "servidores" DNS. Basta hacerles un lookup y ver. Ya quisieran muchos tener tantos DNS's X)
Según se puede leer en las pocas noticias que salieron al respecto, todo esto es obra y gracia de la RBN, con el objetivo de "enrolar" PC's para su Botnet
Qué es la RBN
Qué es malware? ---> virus, troyanos, y todos sus primos y primas...
Qué es un Rootkit?
Que es Botnet?
Qué es un servicio FAST-FLUX? (Bastante tecnicismo)
P.D. El ultimo link a sido editado ya que el anterior no muestra los graficos
Nuevos
http://happy2008toyou.com
http://happysantacards.com
http://hellosanta2008.com
http://freshcards2008.com
http://familypostcards2008.com
http://santapcards.com
http://santawishes2008.com
Actualización: Las paginas web citadas, como origen del malware, ya fueron desactivadas obviamente.
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario