El resurgir del virus Storm : Exprimiendo el correo basura (III)

    248
    0
    Compartir

    Una vez más, merece la pena detenerse ante un correo basura que está inundando nuestros buzones (y por extensión, el de algunos millones más de usuarios) durante estos días. Se trata de un spam que intenta hacer que la víctima visite una página. Con cierta audacia, pretende que se descargue un ejecutable y si no, aprovechar fallos para infectar. Lo destacable en este caso, es la cantidad de variantes que se están creando y su capacidad para pasar a través de los filtros antispam.

     

    Desde hace unos días estamos recibiendo decenas de correos con esta

    estructura:

     

    Dear Member, Welcome To XXXXXX

     

    Membership Number: 43287941

    Login ID: user4579

    Temp Password ID: cy209

     

    For security purposes please login and change the temporary Login ID and Password. Follow this link, or paste it in your browser:

    http://XX.XX.XX.XX/

     

    Thank You, Support Department, XXXXXX

     

    Donde XXXXX suele hablar de citas, MP3 o incluso cuidado de perros.

    Las contraseñas son también aleatorias. Cuando se visita el enlace a la dirección IP (situada en EEUU o Corea del Sur, entre otros) aparece en el navegador una escueta frase:

     

    “If you do not see the Secure Login Window please install our Secure Login Applet”

     

    Esto apunta a la descarga de applet.exe. Esta misma página, aunque no se descargue el ejecutable, contiene un script oculto, codificado con XOR que de forma automática intenta aprovechar vulnerabilidades del navegador o plugins asociados con exploits conocidos. La potencial víctima formará parte de las estadísticas de un servidor Mpack.

     

    Una de las curiosidades de este ataque es la variedad de “applet.exe”

    que están creando. Con tamaños parecidos, no parecen existir dos iguales, variando siempre en un intento de pasar desapercibido ante los antivirus. Sin embargo no lo consigue. Casi el 60% de los antivirus en VirusTotal.com detectan las variantes como sospechosas o como malware identificado. Resulta curioso (aunque ya habitual) como prácticamente ningún motor se pone de acuerdo en su nomenclatura, llamándolas casi de tantas formas distintas como motores y detecciones. Parecen resultar ser variantes del storm worm, un virus mediático del que se habló bastante a comienzos de 2007.

     

    Otro interesante análisis es la capacidad de “no parecer spam” de este correo sencillo en texto plano. Es puntuado muy bajo en el ratio de "posibilidades de ser basura" que otorgan los programas antispam, y se cuela fácilmente en filtros incluso sofisticados. Coexisten en esta basura dos técnicas contrapuestas. Los spammers están tendiendo a técnicas efectivas y sofisticadas ayudándose de archivos adjuntos en PDF e incluso FDF para eludir filtros. Por otro lado, los que intentan infectar con troyanos han encontrado en la “sencillez” del mensaje y en el apoyo en servidores web para alojar el malware (eliminando así el adjunto y el potencial bloqueo de los antivirus), las características para llegar a sus víctimas.

     

    Fuente: www.hispasec.com

    No hay comentarios

    Deja un comentario