Falso parche de Microsoft enlaza a un troyano


El Internet Storm Center del SANS Institute, reportó la aparición en las últimas horas, de numerosas muestras de un correo electrónico que parece ser enviado activamente en forma de spam.





El correo electrónico pretende ser de Microsoft, notificando
de "una nueva vulnerabilidad" descubierta en el servicio de
"Microsoft WinLogon". También informa que la nueva
vulnerabilidad puede permitir el acceso de un atacante a los
sistemas que no tengan el parche instalado.

Por supuesto, el usuario es aconsejado a instalar el parche
que se puede descargar de un enlace incluido en el mensaje.

Si el mensaje es leído en formato HTML, el enlace muestra una
dirección en el sitio de Microsoft:

http: // www .microsoft
.com/patches-win-logon-critical/winlogon_patchV1.12.exe

Sin embargo, la verdadera dirección está en un servidor
situado en Estados Unidos, pero administrado por una compañía
de origen peruano:

http: // www .redcallao .com/????/winlogon_patchV1.12.exe

El archivo descargado es un troyano que NOD32 detecta con el
nombre de Win32/Spy.Delf.NBR, el cuál se inyecta en el
proceso del Internet Explorer, y puede robar la información
que el usuario ingrese vía teclado, además de sus correos
electrónicos.

Según el SANS, en el momento de la detección (aproximadamente
las 22:00 GMT) y hasta el momento de la publicación de este
boletín (04:37 GMT), solo 8 antivirus (según VirusTotal),
detectan este malware:

AntiVir 6.34.1.34 05.29.2006 Heuristic/Crypted.Modified
BitDefender 7.2 05.30.2006 Trojan.BeastPWS.C
Fortinet 2.77.0.0 05.29.2006 suspicious
Kaspersky 4.0.2.24 05.30.2006 Trojan-Spy.Win32.Delf.jq
NOD32v2 1.1566 05.30.2006 Win32/Spy.Delf.NBR
Panda 9.0.0.4 05.29.2006 Suspicious file
Sophos 4.05.0 05.30.2006 Troj/BeastPWS-C
Symantec 8.0 05.30.2006 Infostealer

* Más información sobre Win32/Spy.Delf.NBR:

Spy.Delf.NBR. Simula ser un parche de Microsoft
http://www.vsantivirus.com/spy-delf-nbr.htm

* Más información sobre el spam:

Link to 'a new Microsoft patch' being spammed (NEW)
http://isc.sans.org/diary.php?storyid=1370

* Relacionados:

Falso boletín de seguridad que descarga un troyano
http://www.vsantivirus.com/21-12-05.htm

Falso boletín de seguridad de Microsoft
http://www.vsantivirus.com/30-06-05.htm

Falso anuncio de parche acumulativo de Microsoft
http://www.vsantivirus.com/20-05-05.htm

¿Un mensaje de Microsoft con adjuntos?. ¡Cuidado!
http://www.vsantivirus.com/lz-ms-adjuntos.htm

Fuente:
Por Angela Ruiz
vsantivirus.com



Otras noticias de interés:

Las nuevas amenazas de Internet: Los jokes
los jokes aunque por sí mismos no pueden causar daños, si pueden provocar ciertos problemas, por lo que se les incluye en la categoría de malware....
Fallo en Windows por nombres excesivamente largos
Una vulnerabilidad aparentemente ya corregida, ha sido reportada en Windows e Internet Explorer, y se produce por un desbordamiento de búfer al utilizarse nombres largos en archivos compartidos....
TuxInfo 50 lista para la descarga
TuxInfo a publicado su edición 50. ...
Variante de Bagle y tiempos de reacción antivirus
Pasadas las primeras horas de propagación de la nueva variante de Bagle, donde el número de incidencias fue muy significativo, los últimos indicadores muestran un descenso considerable de su actividad, alejando las posibilidades de epidemia. En...
El virus Jerm simula ser una actualización de Windows XP
Jerm es la última amenaza que circula por Internet en forma de virus. Simula ser una actualización de Windows XP. Se propaga a través de correo electrónico y el chat de IRC y es bastante peligroso porque afecta al antivirus. ...
HoneyPot: MalwareBlacklist.com
MalwareBlacklist.com, tal como su nombre lo indica, es una lista negra de malwares y URLs maliciosas. El servicio es ofrecido por la empresa de seguridad ParetoLogic y constantemente se está actualizando gracias a su honeypot y las muestras que env...
Informe semanal sobre virus
El informe de hoy sobre códigos maliciosos centra su atención en varios troyanos -Hatoy.A, Petala.A y seis variantes de Istbar-, y tres gusanos -Dozer.A, Simbag.A y Holar.I-....
Frankenmalware: la nueva generación de virus
la creatividad de los desarrolladores de virus informáticos y de malware no tiene límites, hace unos días un grupo creo una nueva variante: El Frankenmalware....
Google podría lanzar Chrome OS antes finales de año
En el marco de Computex, un alto ejecutivo de Google ha fijado para finales del otoño de 2010 como posible fecha de lanzamiento para el sistema operativo Chrome OS....
Creador de Java advierte sobre "gran agujero de seguridad" en Microsoft .NET
¿Aviso serio o pura rivalidad comercial? James Gosling, padre de Java y director técnico del grupo de Productos para Desarrolladores de Sun, ha calificado la decisión de Microsoft de mantener C y C++ en el CLR (Common Language Runtime) de .Net, co...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • enlaza
  • exploits
  • falso
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • parche
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra