ESET Uruguay reporta mensaje con foto "torpedo" conteniendo un troyano

Está circulando por la red un mensaje que simula ser una foto "Vivo torpedo" enviada desde un celular al correo electrónico del usuario.

Vivo es una empresa de telefonía perteneciente a los Grupos Portugal Telecom y Telefonica, sus operaciones son en Europa y el hemisferio sur.

Uno de los servicios que brinda este empresa a sus usuarios es la capacidad de mandar las fotos tomadas con el celular, directamente a una dirección de correo electrónico.



El remitente del mensaje en la mayoría de las ocasiones dice "Vivo empresas.", pero como es usual en estos casos, la dirección de correo es generada al azar de una lista. Según la empresa Vivo, cualquier mensaje que utilice su sistema "Foto Torpedo" tendrá el número de celular y después de la arroba un dominio de Internet relacionado a la misma.

El ejemplo proporcionado es: "119909XXXX [arroba] vivomms_com_br"

El mensaje recibido contiene varias imágenes y un vínculo dentro del texto. Para que el usuario pueda ver la foto que le enviaron, debe seguir el enlace proporcionado. Para no llamar la atención sobre dicho enlace, el mismo no contiene una extensión ejecutable, es dirigido a una página web con extensión PHP (lenguaje de programación para páginas web y más).

Al abrir un navegador en la dirección proporcionada, el código PHP se ejecuta en el servidor y como consecuencia se descarga automáticamente en la máquina del usuario un archivo con el nombre "foto-torpedo.exe".

Este archivo es detectado por ESET NOD32 como NewHeur_PE. La denominación NewHeur_PE Virus (New Heuristic Portable Executable Virus), es utilizada por NOD32 cuando un potencial nuevo virus es detectado utilizando la tecnología de detección heurística. Esta detección ocurre cuando el virus no ha sido agregado aún a la base de firmas.

Después de ser ejecutado el malware descarga un troyano que tiene una función más específica, buscar o capturar información financiera en el ordenador comprometido. Es detectado por ESET NOD32 como Win32/Spy.Banker.AXC (la última variante del mismo fue agregada a la base de firmas 2378 el 04/07/2007).

Gracias a la heurística proactiva en los productos de ESET, nuestros clientes estuvieron protegidos contra estas amenazas.

La compañía Vivo en su sitio web advierte sobre los mensajes falsos y aclara que no realiza este tipo de comunicación con sus clientes y que otros intentos registrados usaron temas como la regularización de cuentas o la participación en promociones.

Los usuarios que lean su correo en formato de texto plano estarán a salvo de hacer clic involuntariamente sobre el enlace, ya que éste no aparecerá.

Igualmente aconsejamos no seguir enlaces ni hacer clic sobre adjuntos en mensajes no solicitados.


FUENTE

Falso envío telefónico de "Vivo Torpedo"

Los ciberdelincuentes aprovechan toda posibilidad que se les presenta para lograr infectar las máquinas de los usuarios y hacer crecer sus redes. Esta vez han disfrazado su correo malicioso como una foto enviada desde un celular al correo del usuario.


El mensaje enviado tiene estas características:

De: Vivo empresas.
Para: Ninguno
Asunto: Foto Torpedo pra voce

Texto del mensaje:

Torpedo recebido com sucesso!

Visualizar Foto
(34Kb / Tempo estimado: 0:26seg)



Al hacer clic en el enlace que muestra el mensaje:

http: //torpedo.hobbybus.[removido].net/indexz.php

Se descarga el siguiente archivo:

foto-torpedo.exe

ESET NOD32 detecta esta amenaza como NewHeur_PE.



Al ejecutarse, descarga de Internet el siguiente archivo:

http: //www.gratis[removido].org/indexx.exe

Lo guarda como:

c:\WINDOWS\system\Char.exe

Este archivo es detectado por ESET NOD32 como Win32/Spy.Banker.AXC (la última variante del mismo fue agregada a la base de firmas 2378 el 04/07/2007).

El Win32/Spy.Banker, posee la capacidad de capturar información (keylogger), y enviar mensajes con su propio motor SMTP. Esta información incluye nombre de usuario, tarjeta de crédito, etc., usadas al ingresar a determinadas páginas bancarias.

El troyano crea el siguiente archivo para almacenar dicha información:

%Windir%\reg_0011.txt

Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows32 = "C:\Arquivos de programas\Windows32.exe"

Intenta conectarse al siguiente servidor SMTP:

smtp terra com br

Envía mensajes con los siguientes datos:

De: pErDeU pLaY BoY
Para: meufilho.r0x [arroba] gmail com
Asunto: (AgOrA vAi): [nombre de la computadora]

Texto del mensaje:

Mac: Nome do Pc: [nombre de la computadora]




FUENTE