domingo, 18 de julio de 2010

Alerta Gusano Worm.Autorun-1893 Terra Mensaje MMS (info@hi5.com) Trojan.Win32.Qhost

Worm.Autorun-1893/ Trojan.Win32.Qhost
Alerta con un email enviado desde Mensaje MMS (info@hi5.com). Asunto: Tienes un mensaje enviado desde un celular....
Este email enviado supuestamente desde Terra Peru con "Una tarjeta animada" contiene varios link de descarga a un archivo .exe que contiene un Gusano (worm)



El contenido del mensaje es el siguiente
Terra  Peru,18 de junio del 2010

Alguien que te quiere mucho te envia....
Una tarjeta animada, con un mensaje de voz Movistar. Que lo disfrutes!!
Escucha el mensaje que te enviaron aqui (Aqui hay un vínculo)
La imágen de los conejitos (vinculo)
Click aqui para reproducir el contenido multimedia (vínculo)
Enviado por: Escucha mi voz y seguro que te vas a dar cuenta jajaja espero que te guste (Vínculo)
Si deseas escuchar online el mensaje presiona aqui (Vínculo)
Copyright 2010, Terra Movistar Networks, S.A. Peru

NOTA. NO DESCARGAR EL SIGUIENTE VINCULO. PUEDE INFECTAR SU PC
El vinculo de descarga que aparece en cada link es:
http://www.bouncingbilly.com/contact/forms/admin/x.php
El archivo que se descarga, da la impresión de ser una Imagen / Foto de Camara Digital.
img_DC00012.exe
El sitio de descarga, aparentemente es desde http://citglobal.ca
Este Sitio Web, no visualiza ningun contenido, solo queda la página en blanco.
Para mi es una imitación/camuflage para engañar y dar la impresión de ser real, igual al  Site Oficial de la Empresa CIT Global, la cual desde ella nos indica:.

About CIT
CIT Global is an international provider of high quality, innovative eCommerce / mCommerce solutions and services to its clients.
Our extensive suite of solutions and services enables us to lead our clients into the next generation of multi-channel fully secured eCommerce systems.


A través de la pagina Web OnlineLinkScan (http://onlinelinkscan.com/) se pueden scanear los vinculos de los email que recibimos o paginas web y verificar que tipo de peligros representan para nuestro pc.
Solo se ingresa la url y se scanea el link, en este caso con  (http://www.bouncingbilly.com/contact/forms/admin/x.php) el resultado fue el siguiente:

Worm.Autorun-1893 FOUND



--------- LINK SCAN SUMMARY ---------
URL scanned: http://www.bouncingbilly.com/contact/forms/admin/x.php
PhisTank say's: Service not available.
AVG say's: Service not available.
SiteTruth say's: This site is safe.
Google Safe Browsing say's: This site is safe.
Threat Name: Worm.Autorun-1893 FOUND
Threat Definitions: 807018
Engine Version: 0.96.1
Host IP: 74.54.41.178
Link Status: Infected
File Size: 366.37 KB
Time Finished: 6.36 secs
Overall result: This site may not be secure

Cambio el archivo de descarga en el link (http://www.bouncingbilly.com/contact/forms/admin/x.php)


Al día siguiente probe de nuevo el link de descarga del archivo sopechoso y este cambio de nombre y tamaño: Ahora el archivo cambio incluso de icono y ser hace pasar por un video.
MMS.exe (548Kb)


Descargue el archivo y luego verificando con el Escaneador de virus de Jotti ( http://virusscan.jotti.org/es ) eston son los resultados:
2010-07-19 Generic.19.46942
2010-07-19 No se encontró nada
2010-07-19 No se encontró nada
2010-07-19 Trojan.Win32.Qhost
2010-07-19 BackDoor.VB.KJN
2010-07-19 Trojan.Win32.Qhost.nnd
2010-07-19 DR/Qhost.nnd
2010-07-19 No se encontró nada
2010-07-19 No se encontró nada
2010-07-19 No se encontró nada
2010-07-19 No se encontró nada
2010-07-19 No se encontró nada
2010-07-19 No se encontró nada
2010-07-19 No se encontró nada
2010-07-19 No se encontró nada
2010-07-19 Trojan.Win32.Qhost.nnd
2010-07-18 No se encontró nada
2010-07-19 No se encontró nada
2010-07-19 Trojan.Win32.Qhost.nnd
 

El link de descarga cambio o el archivo o ahora se cambio el tipo de troyano, es decir esta Tarjeta Animada es dinamica y cambia diariamente la forma de ataque

Resporte:  http://virusscan.jotti.org/es/scanresult/f209aad1cca60251583ffafa8af2bf1b466b430f

Información de los Sospechoso (O algún familiar) 

Trojan.Win32.Qhost.nndTrojan:Win32/Qhost.BI is a trojan that modifies the affected system's hosts file to redirect online banking sites to sites of the attacker's choice (possibly for phishing attempts). It modifies the hosts file periodically.
Programa troyano, que consiste en el fichero de Windows %System%\drivers\etc\hosts modificado, que se usa para convertir los nombres de dominio en direcciones IP. El tamaño del fichero modificado es de 5.942 bytes. El fichero está modificado de tal manera que bloquea las solicitudes del usuario a los sitios indicados.

http://www.f-secure.com/v-descs/qhost.shtml
http://www.bleepingcomputer.com/forums/lofiversion/index.php/t65854.html

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3AWin32%2FQhost.BI Leer este foro. (http://www.forospyware.com/t237310.html) (http://www.forospyware.com/t206121.html)

Otro posible Familiar 
Worm/Autorun.dhl

http://www.avira.com/es/threats/section/fulldetails/id_vir/4262/worm_autorun.dhl.html

Nombre:Worm/Autorun.dhl
Descubierto:10/04/2008
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Bajo
Fichero estático:
Tamaño:63.488 Bytes
Suma de control MD5:51050Da73b0B909dedba99b9886e165e
Versión del IVDF:7.00.03.145 


 General Método de propagación:
   • Unidades de red mapeadas
Alias:
   •  Mcafee: W32/Autorun.worm.bc
   •  Kaspersky: Worm.Win32.AutoRun.dhl
   •  F-Secure: Worm.Win32.AutoRun.dhl
   •  Grisoft: Worm/Generic.GRK
   •  Eset: Win32/AutoRun.KE
   •  Bitdefender: Trojan.Autorun.RC
Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro

http://www.avira.com/es/threats/section/fulldetails/id_vir/4262/worm_autorun.dhl.html


Información del dominio de descarga (Host IP: 74.54.41.178 ) es la siguiente:
http://whois.domaintools.com/74.54.41.178

IP Information for 74.54.41.178

IP Location: United States United States Dallas Theplanet.com Internet Services Inc
Resolve Host: tesla.websitewelcome.com
IP Address: 74.54.41.178
SSL Cert: *.websitewelcome.com expires in 1 days.
Reverse IP: 734 other sites hosted on this server.
NetRange:       74.52.0.0 - 74.55.255.255
CIDR:           74.52.0.0/14
OriginAS:       AS36420, AS30315, AS13749, AS21844
NetName:        NETBLK-THEPLANET-BLK-14
NetHandle:      NET-74-52-0-0-1
Parent:         NET-74-0-0-0-0
NetType:        Direct Allocation
NameServer:     NS2.THEPLANET.COM
NameServer:     NS1.THEPLANET.COM
RegDate:        2006-02-17
Updated:        2009-02-24
Ref:            http://whois.arin.net/rest/net/NET-74-52-0-0-1




Como eliminar el Win32/Qhost
(http://www.forospyware.com/t237310.html)

1.-  DESCARGA LO SIGUIENTE:
CCLEANER y su MANUAL

2.- MALWAREBYTE`S ANTIMALWARE Y Su MANUAL
(LO INSTALAS SEGUN SU MANUAL, LO ACTUALIZAS......PERO NO LO EJECUTES AUN)

3.- EJECUTA CCLEANER usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

4.- Deshabilita RESTAURAR SISTEMA (SYSTEM RESTORE) MIRA AQUI


5.- Inicia EN MODO A PRUEBA DE ERRORES MIRA AQUI

6.- EJECUTA MALWAREBYTE. Seleccionas hacer un "escaneo completo"
Una vez finalizado, si te detecta algo eliges " quitar lo seleccionado ".
Si te pide reiniciar, lo haces y después te vas a la pestaña de "registros" para copiar y pegar el reporte generado en este tema.

7.- Pasas CCLEANER nuevamente

8.- Inicia en modo normal, habilita restaurar sistema

9.- Realizas un scan online con KASPERSKY, desde ACA usando su versiòn en español o en ingles si esta no funciona....

Resultados Google y Trojan.Win32.Qhost.nnd
Otra cosa de mucha importancia y los resultados de google con el troyano Trojan.Win32.Qhost.nnd
Los resultados de google para este troyano son intrigantes, ya que los primeros link son de programas, herramientas o paginas web con software  que supuestamente eliminan el troyano.
Pero utilizo el plugins WOT para verificar la credibilidad y seguridad de las paginas web.
Y las primeras consultas son de myu mala reputación
Tengan cuidad con el software de seguridad que instalan en su Pc, ya que algunas veces tan solo son programasd que al final te dicen que escanean y protegen tu pc y encuentran cientos de archivos peligrosos, y que para limpiarlos debes comprar el programa online, y para colmo estos no se dejan desinstalar.

Vean los reportes de WOT para los primero resultados de google

scanforfree.com: http://www.mywot.com/es/scorecard/scanforfree.com.
Phishing or other scams
11
Contenido malintencionado, virus
8
Infracción de seguridad del navegador
8
Spyware o adware
14
securitystronghold.com: http://www.mywot.com/es/scorecard/securitystronghold.com
Buen sitio
5
Anuncios o mensajes emergentes molestos
1
Phishing or other scams
7
Contenido malintencionado, virus
10
Infracción de seguridad del navegador
3
Ethical issues
1
pcindanger.com: http://www.mywot.com/es/scorecard/pcindanger.com
Comentarios. Cualquier sitio o software que no le dice de antemano que le costará es un engaño y que es casi tan malo como un virus y se debe considerar Greyware y no confiar en él.

Es comercial y no está permitida. Este es el spam en su mayoría, pero, definitivamente no-ética
 

No hay comentarios:

Publicar un comentario

Por política no publicamos comentarios anónimos.
Su comentario sera sometido a moderación.
Sea paciente y en unos instantes este sera visible para todos.

Gracias por su opinión.

Proyecto Cumaná Digital 2.4 GHz

Ofrecemos a la Comunidad Estudiantil, en todos los Niveles Educativos (Universitario, Técnico, Ciclo Diversificado, Educación Básica) servicios academicos a muy bajos costos, accesibles para aquellos estudiantes de bajos recursos. Nuestro objetivo es ofrecer servicios de calidad.

Ademas puedes consultar los articulos publicados es este Blog.

Elaboración y Asesorias de Tesis de Grado, Pasantias, Proyectos de Servicio Comunitario. Transcripción de todo tipo de documentos.
Asesoría en Tesis de Grado, Pasantias, Servicio Comunitario. Ofrecemos encargarnos integralmente del proyecto: Diagramacion normas APA-UPEL. Corrección de Estilo, Tiempos Verbales, Operacionalización de Variables, Indicadores, Instrumento de Recolección de Datos, Encuestas, Cuestionario, Estadísticas. Tambien realizamos Trabajos de investigación documental, de campo, Proyectos Factibles. Nos adaptmos a las normas y exigencias de cada Institución/universidad.

ASESORÍAS DE TESIS EN CUMANÁ

Solicitar Información - Contáctanos