Falso parche de Microsoft enlaza a un troyano

30/05/2006 - 17:19 por Verónica B. | Informe spam
El Internet Storm Center del SANS Institute, reportó la
aparición en las últimas horas, de numerosas muestras de un
correo electrónico que parece ser enviado activamente en
forma de spam.

El correo electrónico pretende ser de Microsoft, notificando
de "una nueva vulnerabilidad" descubierta en el servicio de
"Microsoft WinLogon". También informa que la nueva
vulnerabilidad puede permitir el acceso de un atacante a los
sistemas que no tengan el parche instalado.

Por supuesto, el usuario es aconsejado a instalar el parche
que se puede descargar de un enlace incluido en el mensaje.

Si el mensaje es leído en formato HTML, el enlace muestra una
dirección en el sitio de Microsoft:

http: // www .microsoft
.com/patches-win-logon-critical/winlogon_patchV1.12.exe

Sin embargo, la verdadera dirección está en un servidor
situado en Estados Unidos, pero administrado por una compañía
de origen peruano:

http: // www .redcallao .com/????/winlogon_patchV1.12.exe

El archivo descargado es un troyano que NOD32 detecta con el
nombre de Win32/Spy.Delf.NBR, el cuál se inyecta en el
proceso del Internet Explorer, y puede robar la información
que el usuario ingrese vía teclado, además de sus correos
electrónicos.

Según el SANS, en el momento de la detección (aproximadamente
las 22:00 GMT) y hasta el momento de la publicación de este
boletín (04:37 GMT), solo 8 antivirus (según VirusTotal),
detectan este malware:

AntiVir 6.34.1.34 05.29.2006 Heuristic/Crypted.Modified
BitDefender 7.2 05.30.2006 Trojan.BeastPWS.C
Fortinet 2.77.0.0 05.29.2006 suspicious
Kaspersky 4.0.2.24 05.30.2006 Trojan-Spy.Win32.Delf.jq
NOD32v2 1.1566 05.30.2006 Win32/Spy.Delf.NBR
Panda 9.0.0.4 05.29.2006 Suspicious file
Sophos 4.05.0 05.30.2006 Troj/BeastPWS-C
Symantec 8.0 05.30.2006 Infostealer


* Más información sobre Win32/Spy.Delf.NBR:

Spy.Delf.NBR. Simula ser un parche de Microsoft
http://www.vsantivirus.com/spy-delf-nbr.htm


* Más información sobre el spam:

Link to 'a new Microsoft patch' being spammed (NEW)
http://isc.sans.org/diary.php?storyid70


Fuente: www.vsantivirus.com

saludos
Verónica B.

Preguntas similare

Leer las respuestas

#1 Engel
31/05/2006 - 03:39 | Informe spam
Hello Veronica,

Gracias.

"Verónica B." wrote:

El Internet Storm Center del SANS Institute, reportó la
aparición en las últimas horas, de numerosas muestras de un
correo electrónico que parece ser enviado activamente en
forma de spam.

El correo electrónico pretende ser de Microsoft, notificando
de "una nueva vulnerabilidad" descubierta en el servicio de
"Microsoft WinLogon". También informa que la nueva
vulnerabilidad puede permitir el acceso de un atacante a los
sistemas que no tengan el parche instalado.

Por supuesto, el usuario es aconsejado a instalar el parche
que se puede descargar de un enlace incluido en el mensaje.

Si el mensaje es leído en formato HTML, el enlace muestra una
dirección en el sitio de Microsoft:

http: // www .microsoft
..com/patches-win-logon-critical/winlogon_patchV1.12.exe

Sin embargo, la verdadera dirección está en un servidor
situado en Estados Unidos, pero administrado por una compañía
de origen peruano:

http: // www .redcallao .com/????/winlogon_patchV1.12.exe

El archivo descargado es un troyano que NOD32 detecta con el
nombre de Win32/Spy.Delf.NBR, el cuál se inyecta en el
proceso del Internet Explorer, y puede robar la información
que el usuario ingrese vía teclado, además de sus correos
electrónicos.

Según el SANS, en el momento de la detección (aproximadamente
las 22:00 GMT) y hasta el momento de la publicación de este
boletín (04:37 GMT), solo 8 antivirus (según VirusTotal),
detectan este malware:

AntiVir 6.34.1.34 05.29.2006 Heuristic/Crypted.Modified
BitDefender 7.2 05.30.2006 Trojan.BeastPWS.C
Fortinet 2.77.0.0 05.29.2006 suspicious
Kaspersky 4.0.2.24 05.30.2006 Trojan-Spy.Win32.Delf.jq
NOD32v2 1.1566 05.30.2006 Win32/Spy.Delf.NBR
Panda 9.0.0.4 05.29.2006 Suspicious file
Sophos 4.05.0 05.30.2006 Troj/BeastPWS-C
Symantec 8.0 05.30.2006 Infostealer


* Más información sobre Win32/Spy.Delf.NBR:

Spy.Delf.NBR. Simula ser un parche de Microsoft
http://www.vsantivirus.com/spy-delf-nbr.htm


* Más información sobre el spam:

Link to 'a new Microsoft patch' being spammed (NEW)
http://isc.sans.org/diary.php?storyid70


Fuente: www.vsantivirus.com

saludos
Verónica B.



Respuesta Responder a este mensaje
#2 Engel
31/05/2006 - 03:39 | Informe spam
Hello Veronica,

Gracias.

"Verónica B." wrote:

El Internet Storm Center del SANS Institute, reportó la
aparición en las últimas horas, de numerosas muestras de un
correo electrónico que parece ser enviado activamente en
forma de spam.

El correo electrónico pretende ser de Microsoft, notificando
de "una nueva vulnerabilidad" descubierta en el servicio de
"Microsoft WinLogon". También informa que la nueva
vulnerabilidad puede permitir el acceso de un atacante a los
sistemas que no tengan el parche instalado.

Por supuesto, el usuario es aconsejado a instalar el parche
que se puede descargar de un enlace incluido en el mensaje.

Si el mensaje es leído en formato HTML, el enlace muestra una
dirección en el sitio de Microsoft:

http: // www .microsoft
..com/patches-win-logon-critical/winlogon_patchV1.12.exe

Sin embargo, la verdadera dirección está en un servidor
situado en Estados Unidos, pero administrado por una compañía
de origen peruano:

http: // www .redcallao .com/????/winlogon_patchV1.12.exe

El archivo descargado es un troyano que NOD32 detecta con el
nombre de Win32/Spy.Delf.NBR, el cuál se inyecta en el
proceso del Internet Explorer, y puede robar la información
que el usuario ingrese vía teclado, además de sus correos
electrónicos.

Según el SANS, en el momento de la detección (aproximadamente
las 22:00 GMT) y hasta el momento de la publicación de este
boletín (04:37 GMT), solo 8 antivirus (según VirusTotal),
detectan este malware:

AntiVir 6.34.1.34 05.29.2006 Heuristic/Crypted.Modified
BitDefender 7.2 05.30.2006 Trojan.BeastPWS.C
Fortinet 2.77.0.0 05.29.2006 suspicious
Kaspersky 4.0.2.24 05.30.2006 Trojan-Spy.Win32.Delf.jq
NOD32v2 1.1566 05.30.2006 Win32/Spy.Delf.NBR
Panda 9.0.0.4 05.29.2006 Suspicious file
Sophos 4.05.0 05.30.2006 Troj/BeastPWS-C
Symantec 8.0 05.30.2006 Infostealer


* Más información sobre Win32/Spy.Delf.NBR:

Spy.Delf.NBR. Simula ser un parche de Microsoft
http://www.vsantivirus.com/spy-delf-nbr.htm


* Más información sobre el spam:

Link to 'a new Microsoft patch' being spammed (NEW)
http://isc.sans.org/diary.php?storyid70


Fuente: www.vsantivirus.com

saludos
Verónica B.



Respuesta Responder a este mensaje
#3 Verónica B.
31/05/2006 - 17:01 | Informe spam
:))


"Engel" escribió en el mensaje
news:
Hello Veronica,

Gracias.

"Verónica B." wrote:

> El Internet Storm Center del SANS Institute, reportó la
> aparición en las últimas horas, de numerosas muestras de un
> correo electrónico que parece ser enviado activamente en
> forma de spam.
>
> El correo electrónico pretende ser de Microsoft, notificando
> de "una nueva vulnerabilidad" descubierta en el servicio de
> "Microsoft WinLogon". También informa que la nueva
> vulnerabilidad puede permitir el acceso de un atacante a los
> sistemas que no tengan el parche instalado.
>
> Por supuesto, el usuario es aconsejado a instalar el parche
> que se puede descargar de un enlace incluido en el mensaje.
>
> Si el mensaje es leído en formato HTML, el enlace muestra una
> dirección en el sitio de Microsoft:
>
> http: // www .microsoft
> ..com/patches-win-logon-critical/winlogon_patchV1.12.exe
>
> Sin embargo, la verdadera dirección está en un servidor
> situado en Estados Unidos, pero administrado por una compañía
> de origen peruano:
>
> http: // www .redcallao .com/????/winlogon_patchV1.12.exe
>
> El archivo descargado es un troyano que NOD32 detecta con el
> nombre de Win32/Spy.Delf.NBR, el cuál se inyecta en el
> proceso del Internet Explorer, y puede robar la información
> que el usuario ingrese vía teclado, además de sus correos
> electrónicos.
>
> Según el SANS, en el momento de la detección (aproximadamente
> las 22:00 GMT) y hasta el momento de la publicación de este
> boletín (04:37 GMT), solo 8 antivirus (según VirusTotal),
> detectan este malware:
>
> AntiVir 6.34.1.34 05.29.2006 Heuristic/Crypted.Modified
> BitDefender 7.2 05.30.2006 Trojan.BeastPWS.C
> Fortinet 2.77.0.0 05.29.2006 suspicious
> Kaspersky 4.0.2.24 05.30.2006 Trojan-Spy.Win32.Delf.jq
> NOD32v2 1.1566 05.30.2006 Win32/Spy.Delf.NBR
> Panda 9.0.0.4 05.29.2006 Suspicious file
> Sophos 4.05.0 05.30.2006 Troj/BeastPWS-C
> Symantec 8.0 05.30.2006 Infostealer
>
>
> * Más información sobre Win32/Spy.Delf.NBR:
>
> Spy.Delf.NBR. Simula ser un parche de Microsoft
> http://www.vsantivirus.com/spy-delf-nbr.htm
>
>
> * Más información sobre el spam:
>
> Link to 'a new Microsoft patch' being spammed (NEW)
> http://isc.sans.org/diary.php?storyid70
>
>
> Fuente: www.vsantivirus.com
>
> saludos
> Verónica B.
>
>
>
Respuesta Responder a este mensaje
#4 Verónica B.
31/05/2006 - 17:01 | Informe spam
:))


"Engel" escribió en el mensaje
news:
Hello Veronica,

Gracias.

"Verónica B." wrote:

> El Internet Storm Center del SANS Institute, reportó la
> aparición en las últimas horas, de numerosas muestras de un
> correo electrónico que parece ser enviado activamente en
> forma de spam.
>
> El correo electrónico pretende ser de Microsoft, notificando
> de "una nueva vulnerabilidad" descubierta en el servicio de
> "Microsoft WinLogon". También informa que la nueva
> vulnerabilidad puede permitir el acceso de un atacante a los
> sistemas que no tengan el parche instalado.
>
> Por supuesto, el usuario es aconsejado a instalar el parche
> que se puede descargar de un enlace incluido en el mensaje.
>
> Si el mensaje es leído en formato HTML, el enlace muestra una
> dirección en el sitio de Microsoft:
>
> http: // www .microsoft
> ..com/patches-win-logon-critical/winlogon_patchV1.12.exe
>
> Sin embargo, la verdadera dirección está en un servidor
> situado en Estados Unidos, pero administrado por una compañía
> de origen peruano:
>
> http: // www .redcallao .com/????/winlogon_patchV1.12.exe
>
> El archivo descargado es un troyano que NOD32 detecta con el
> nombre de Win32/Spy.Delf.NBR, el cuál se inyecta en el
> proceso del Internet Explorer, y puede robar la información
> que el usuario ingrese vía teclado, además de sus correos
> electrónicos.
>
> Según el SANS, en el momento de la detección (aproximadamente
> las 22:00 GMT) y hasta el momento de la publicación de este
> boletín (04:37 GMT), solo 8 antivirus (según VirusTotal),
> detectan este malware:
>
> AntiVir 6.34.1.34 05.29.2006 Heuristic/Crypted.Modified
> BitDefender 7.2 05.30.2006 Trojan.BeastPWS.C
> Fortinet 2.77.0.0 05.29.2006 suspicious
> Kaspersky 4.0.2.24 05.30.2006 Trojan-Spy.Win32.Delf.jq
> NOD32v2 1.1566 05.30.2006 Win32/Spy.Delf.NBR
> Panda 9.0.0.4 05.29.2006 Suspicious file
> Sophos 4.05.0 05.30.2006 Troj/BeastPWS-C
> Symantec 8.0 05.30.2006 Infostealer
>
>
> * Más información sobre Win32/Spy.Delf.NBR:
>
> Spy.Delf.NBR. Simula ser un parche de Microsoft
> http://www.vsantivirus.com/spy-delf-nbr.htm
>
>
> * Más información sobre el spam:
>
> Link to 'a new Microsoft patch' being spammed (NEW)
> http://isc.sans.org/diary.php?storyid70
>
>
> Fuente: www.vsantivirus.com
>
> saludos
> Verónica B.
>
>
>
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida