Hoy me llego un correo el cual me causo mucha curiosidad y quise leerlo, el remitente aparentemente era UNICEFy tenia como asunto “CAMPAÑA DE AYUDA PARA NIÑOS” al ver los detalles claramente se ve que es un fraude y que algo no esta bien:
Desde ese momento ya sabia que era un correo malintencionado para infectarme con algun bicho raro, pero como la curiosidad mato al gato, quise saber que era exactamente. El cuerpo del mensaje era una imagen que enlazaba a la descarga de un archivo .exe, Esta era la imagen:
Y el enlace a la descarga es este:
http://unicef.gratiscolombia.com/campana/julio2009/descarga_instructivo_412FCP000001AC612313=validar
Este enlace descarga un archivo llamado haste socio.exe. Al ver que era un archivo .exe, quise descargarlo y hacerle un analisis basico sobre lo que era y lo que debia hacer este archivo infectado. Asi que entre a virustotal una web que nos ayuda a examinar todos esos archivos que nosotros creemos que son sospechosos. El resultado fue este:
Motor antivirus Versión Última actualización Resultado a-squared 4.5.0.18 2009.06.25 - AhnLab-V3 5.0.0.2 2009.06.25 Win-Trojan/Xema.variant AntiVir 7.9.0.196 2009.06.25 DR/Delphi.Gen Antiy-AVL 2.0.3.1 2009.06.25 Trojan/Win32.Buzus.gen Authentium 5.1.2.4 2009.06.25 W32/Trojan2.GBSV Avast 4.8.1335.0 2009.06.24 Win32:Trojan-gen {Other} AVG 8.5.0.339 2009.06.25 Generic12.ADJL BitDefender 7.2 2009.06.25 Trojan.Generic.1264392 CAT-QuickHeal 10.00 2009.06.25 - ClamAV 0.94.1 2009.06.25 Trojan.Delf-7771 Comodo 1415 2009.06.25 - DrWeb 5.0.0.12182 2009.06.25 - eSafe 7.0.17.0 2009.06.25 Win32.DRDelphi eTrust-Vet 31.6.6579 2009.06.25 - F-Prot 4.4.4.56 2009.06.25 W32/Trojan2.GBSV F-Secure 8.0.14470.0 2009.06.25 Trojan.Win32.Buzus.bgif Fortinet 3.117.0.0 2009.06.25 W32/Delf.KHO!tr GData 19 2009.06.25 Trojan.Generic.1264392 Ikarus T3.1.1.59.0 2009.06.25 VirTool.Win32.DelfInject Jiangmin 11.0.706 2009.06.25 Trojan/Delf.hed K7AntiVirus 7.10.768 2009.06.19 - Kaspersky 7.0.0.125 2009.06.25 Trojan.Win32.Buzus.bgif McAfee 5656 2009.06.24 Generic.dx!nf McAfee+Artemis 5656 2009.06.24 Generic.dx!nf McAfee-GW-Edition 6.7.6 2009.06.25 Trojan.Dropper.Delphi.Gen Microsoft 1.4803 2009.06.25 VirTool:Win32/DelfInject.gen!AC NOD32 4188 2009.06.25 - Norman 6.01.09 2009.06.25 W32/Malware nProtect 2009.1.8.0 2009.06.25 - Panda 10.0.0.16 2009.06.24 - PCTools 4.4.2.0 2009.06.25 - Prevx 3.0 2009.06.25 - Rising 21.35.34.00 2009.06.25 - Sophos 4.43.0 2009.06.25 Mal/Generic-A Sunbelt 3.2.1858.2 2009.06.25 - Symantec 1.4.4.12 2009.06.25 - TheHacker 6.3.4.3.353 2009.06.24 - TrendMicro 8.950.0.1094 2009.06.25 Cryp_Neb VBA32 3.12.10.7 2009.06.25 Win32.Spy.Bancos.NKO ViRobot 2009.6.25.1804 2009.06.25 - VirusBuster 4.6.5.0 2009.06.25 -
Información adicional File size: 150681 bytes MD5 : 7afb9d17631a49eb628869fc99b865f6 SHA1 : 13c23fb59d95684c22479b94565ded9cc282e180 SHA256: bb80f4f984dbd7b8245d1f318a2bd829d5ad02f4ea50d8884cd60bbfb963466a PEInfo: PE Structure information ( base data )
entrypointaddress.: 0×1000
timedatestamp…..: 0x465278A2 (Tue May 22 06:59:14 2007)
machinetype…….: 0x14C (Intel I386)( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0×1000 0×14000 0×13600 6.44 c5df2bcf4cb444a9ce3abf40dc2ae79f
.data 0×15000 0×7000 0xA00 4.92 fe3e541d125dbe299f892385c2f9e9c8
.idata 0x1C000 0×1000 0×1000 5.12 37eade5359d82bcd800d9cf089c501ff
.rsrc 0x1D000 0x5D73 0x5E00 5.30 6c823c47c9050c805afaa84997f5e249( 8 imports )
> advapi32.dll: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, SetFileSecurityA, SetFileSecurityW
> comctl32.dll: -
> comdlg32.dll: CommDlgExtendedError, GetOpenFileNameA, GetSaveFileNameA
> gdi32.dll: DeleteObject
> kernel32.dll: CloseHandle, CompareStringA, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DosDateTimeToFileTime, ExitProcess, ExpandEnvironmentStringsA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FindResourceA, FreeLibrary, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetDateFormatA, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetNumberFormatA, GetProcAddress, GetProcessHeap, GetStdHandle, GetTempPathA, GetTickCount, GetTimeFormatA, GetVersionExA, GlobalAlloc, HeapAlloc, HeapFree, HeapReAlloc, IsDBCSLeadByte, LoadLibraryA, LocalFileTimeToFileTime, MoveFileA, MoveFileExA, MultiByteToWideChar, ReadFile, SetCurrentDirectoryA, SetEndOfFile, SetEnvironmentVariableA, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetLastError, Sleep, SystemTimeToFileTime, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcmpiA, lstrlenA
> ole32.dll: CLSIDFromString, CoCreateInstance, CreateStreamOnHGlobal, OleInitialize, OleUninitialize
> shell32.dll: SHBrowseForFolderA, SHChangeNotify, SHFileOperationA, SHGetFileInfoA, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExA, SHGetPathFromIDListA
> user32.dll: CharToOemA, CharToOemBuffA, CharUpperA, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DestroyWindow, DialogBoxParamA, DispatchMessageA, EnableWindow, EndDialog, FindWindowExA, GetClassNameA, GetClientRect, GetDlgItem, GetDlgItemTextA, GetMessageA, GetParent, GetSysColor, GetSystemMetrics, GetWindow, GetWindowLongA, GetWindowRect, GetWindowTextA, IsWindow, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadIconA, LoadStringA, MapWindowPoints, MessageBoxA, OemToCharA, OemToCharBuffA, PeekMessageA, PostMessageA, RegisterClassExA, SendDlgItemMessageA, SendMessageA, SetDlgItemTextA, SetFocus, SetMenu, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow, WaitForInputIdle, wsprintfA, wvsprintfA( 0 exports )
TrID : File type identification
WinRAR Self Extracting archive (96.2%)
Win32 Executable Generic (1.5%)
Win32 Dynamic Link Library (generic) (1.4%)
Generic Win/DOS Executable (0.3%)
DOS Executable Generic (0.3%)ssdeep: 3072:28U2yJN5f661xRZbALxB1Ojdgx8GYRsPlVO8aG1Ux5oUC:28U2qy6rRZb7jxGYRsXOzG2x5pC PEiD : - packers (F-Prot): RAR packers (Authentium): RAR RDS : NSRL Reference Data Set
Nuestra sospecha era correcta, al parecer es un trojano que infecta nuestra PC . Es impresionante como en estos ataques usan causas sociales, para atrapar a la victima e infectarla. con troyanos y virus con diversos fines, spam, red zombies etc
En conclusion, debemos estar pendientes de cualquier correo que llega a nuestro buzon, cerciorarse que el remitente sea el verdadero, y mantener nuestro antivirus actualizado contra las nuevas amenazas
Valora en Bitacoras.com: Hoy me llego un correo el cual me causo mucha curiosidad y quise leerlo, el remitente aparentemente era UNICEFy tenia como asunto ?CAMPAÑA DE AYUDA PARA NIÑOS? al ver los detalles claramente se ve que es un fraude y que algo…..