Están circulando correos spam que simulan ser enviados por un conocido diario de Perú, el gancho para engañar a los usuarios es un supuesto video relacionado con una noticia que está dando mucho que hablar en el país andino. Al hacer clic en los enlaces se inicia la descarga de un troyano Rosario_Video.exe que por ahora no es detectado por ningún antivirus (VT 0 /34):
El archivo se encuentra alojado en un sitio vulnerado que permite listar sus directorios, la siguiente captura muestra los archivos creados por el atacante:
Se puede ver el .exe con fecha de ayer, otro archivo que se utiliza para realizar una redirección y un .txt que funciona como contador, al día de hoy parece que el troyano se ha descargado más de 6.500 mil veces.
Como siempre, sentido común y cuidado con los enlaces recibidos!
Gracias Milagros por el envío.
Actualización: mismo troyano con Markarián.
Por ahora sólo las firmas de un antivirus detectan el troyano (VT 1/42), los atacantes lo están utilizando con otras variantes de noticias falsas. En la siguiente captura se puede ver el mismo kit, pero ahora el supuesto video se llama markarian.exe, haciendo alusión al director técnico de la selección de fútbol peruana:
El archivo cn.txt funciona como un contador simple de descargas, por ahora van más de 1.600:
buenas buenas por aya :) me gustaria meenviaras ese bichito no pude encontrarlo porinternet y no se seria mucha molestia, me gustaria estudiarlo gracias.
Enviado :)
buenas noches amigo; tras provar el bichito que meenviaste en un entorno vmware para estudiar su comportamiento y desnudar los binarios que hay en su interior te envio un analisis completo del ejecutable, muchas gracias por enviarmelo me he vuelto un adicto a este mundo de los virus todo gracias a este post http://www.elladodelmal.com/2011/11/25-anos-de-virus-defendiendo-internet.html, me encanta la informatica en general.
Excelente, y excelente el blog de Chema también :) uno de los mejores.